VMWARE SPRING AMQP 拒絕服務(wù)漏洞

 漏洞資訊     |      2021-12-02

一、   漏洞描述

有權(quán)限的攻擊者可利用 Spring AMQP 對(duì) java.lang 和 java.util 包中的類可信的漏洞,通過調(diào)用 toString() 方法,將反序列化內(nèi)容類型為 application/x-java-serialized-object 的消息的 Spring AMQP Message 對(duì)象構(gòu)造成一個(gè)惡意的 java.util.Dictionary 對(duì)象,并發(fā)布到 RabbitMQ 服務(wù)器上,這會(huì)導(dǎo)致目標(biāo) CPU 出現(xiàn)100%的占用率。

二、   漏洞詳情

CVE-2021-22097   : VMWARE SPRING AMQP 拒絕服務(wù)漏洞

CVE: CVE-2021-22097  

組件: Spring AMQP

漏洞類型: 代碼問題

影響: 可導(dǎo)致拒絕服務(wù)

簡(jiǎn)述: 見漏洞描述

三、   影響版本


影響產(chǎn)品或系統(tǒng)版本

安全版本

Spring AMQP

Spring AMQP < 2.2.19

Spring AMQP < 2.3.11

大于受影響版本

四、   安全版本

見三

五、  安全建議

通用修補(bǔ)建議:

廠商已發(fā)布補(bǔ)丁,用戶請(qǐng)盡快升級(jí)

https://tanzu.vmware.com/security/cve-2021-22097