VMware Spring AMQP 拒绝服务漏洞

0x01 漏洞描述

Spring AMQP 是基于Spring框架的AMQP消息解决方案，提供模板化的发送和接收消息的抽象层，提供基于消息驱动的POJO的消息监听等。

2021年11月30日，360漏洞云团队监测到VMware发布安全公告，修复了一个 Spring AMQP中的拒绝服务漏洞。漏洞编号：CVE-2021-22095，漏洞威胁等级：中危。

该漏洞是由于在Spring AMQP Message对象的toString()方法中，将从消息体创建一个新的String对象，而不管它的大小。这可能会导致带有较大消息体的OOM错误。

0x02 危害等级

中危

0x03 影响版本

Spring AMQP

2.2.0<=Spring AMQP<=2.2.19

2.3.0<=Spring AMQP<=2.3.11

0x04 修复建议

2.3.x 用户应升级到 2.3.12。2.2.x 用户应升级到 2.2.20。不需要其他步骤。toString() 方法现在仅转换长度为 50 字节或更少字节的主体。

已修复此问题的版本包括：

Spring AMQP 2.4.0、2.3.12、2.2.20

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。