漏洞资讯

VMWARE SPRING AMQP 拒绝服务漏洞

2021-12-02 10:20:46 0

一、   漏洞描述

有权限的攻击者可利用 Spring AMQP 对 java.lang 和 java.util 包中的类可信的漏洞,通过调用 toString() 方法,将反序列化内容类型为 application/x-java-serialized-object 的消息的 Spring AMQP Message 对象构造成一个恶意的 java.util.Dictionary 对象,并发布到 RabbitMQ 服务器上,这会导致目标 CPU 出现100%的占用率。

二、   漏洞详情

CVE-2021-22097   : VMWARE SPRING AMQP 拒绝服务漏洞

CVE: CVE-2021-22097  

组件: Spring AMQP

漏洞类型: 代码问题

影响: 可导致拒绝服务

简述: 见漏洞描述

三、   影响版本


影响产品或系统版本

安全版本

Spring AMQP

Spring AMQP < 2.2.19

Spring AMQP < 2.3.11

大于受影响版本

四、   安全版本

见三

五、  安全建议

通用修补建议:

厂商已发布补丁,用户请尽快升级

https://tanzu.vmware.com/security/cve-2021-22097