VMware Spring AMQP 拒絕服務漏洞

0x01 漏洞描述

Spring AMQP 是基于Spring框架的AMQP消息解決方案，提供模板化的發送和接收消息的抽象層，提供基于消息驅動的POJO的消息監聽等。

2021年11月30日，360漏洞云團隊監測到VMware發布安全公告，修復了一個 Spring AMQP中的拒絕服務漏洞。漏洞編號：CVE-2021-22095，漏洞威脅等級：中危。

該漏洞是由于在Spring AMQP Message對象的toString()方法中，將從消息體創建一個新的String對象，而不管它的大小。這可能會導致帶有較大消息體的OOM錯誤。

0x02 危害等級

中危

0x03 影響版本

Spring AMQP

2.2.0<=Spring AMQP<=2.2.19

2.3.0<=Spring AMQP<=2.3.11

0x04 修復建議

2.3.x 用戶應升級到 2.3.12。2.2.x 用戶應升級到 2.2.20。不需要其他步驟。toString() 方法現在僅轉換長度為 50 字節或更少字節的主體。

已修復此問題的版本包括：

Spring AMQP 2.4.0、2.3.12、2.2.20

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。