一、 漏洞描述
有权限的攻击者可利用 Spring AMQP 对 java.lang 和 java.util 包中的类可信的漏洞,通过调用 toString() 方法,将反序列化内容类型为 application/x-java-serialized-object 的消息的 Spring AMQP Message 对象构造成一个恶意的 java.util.Dictionary 对象,并发布到 RabbitMQ 服务器上,这会导致目标 CPU 出现100%的占用率。
二、 漏洞详情
CVE-2021-22097 : VMWARE SPRING AMQP 拒绝服务漏洞
CVE: CVE-2021-22097
组件: Spring AMQP
漏洞类型: 代码问题
影响: 可导致拒绝服务
简述: 见漏洞描述
三、 影响版本
影响产品或系统版本 | 安全版本 | |
Spring AMQP | Spring AMQP < 2.2.19 Spring AMQP < 2.3.11 | 大于受影响版本 |
四、 安全版本
见三
五、 安全建议
通用修补建议:
厂商已发布补丁,用户请尽快升级
https://tanzu.vmware.com/security/cve-2021-22097