commit 2be03ce9d009ac40f949b772f20d93e550e17156
author Wu.XiaoFei <masfay@163.com> Thu Mar 24 18:10:41 2016 +0800
committer Wu.XiaoFei <masfay@163.com> Thu Mar 24 18:10:41 2016 +0800
tree bd67c05da0a716bd9e09cbcda417116f30f81d66
parent 30da4e430c15ba3e4db3175749c8a271835593bd
parent 140c2722dee9ce92da137e0cf50cd4b86a987a4c

Merge pull request #4 from teaey/master

增加RMI安全漏洞说明提示

.gitignore

diff --git a/.gitignore b/.gitignore
index 32858aa..cac8430 100644
--- a/.gitignore
+++ b/.gitignore
@@ -10,3 +10,5 @@
 
 # virtual machine crash logs, see http://www.java.com/en/download/help/error_hotspot.xml
 hs_err_pid*
+
+.idea

Rmi+Protocol-zh.htm

diff --git a/Rmi+Protocol-zh.htm b/Rmi+Protocol-zh.htm
index 684e53b..fe07f98 100644
--- a/Rmi+Protocol-zh.htm
+++ b/Rmi+Protocol-zh.htm
@@ -796,6 +796,18 @@
 
 <div class='panelMacro'><table class='tipMacro'><colgroup><col width='24'><col></colgroup><tr><td valign='top'><img src="check.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/check.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td><td>RMI协议采用JDK标准的java.rmi.*实现，采用阻塞式短连接和JDK标准序列化方式。</td></tr></table></div>
 
+<div class='panelMacro'><table class='warningMacro'><colgroup><col width='24'><col></colgroup>
+    <tr>
+        <td valign='top'><img src="warning-3.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/warning.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td>
+        <td>如果正在使用RMI提供服务给外部访问（公司内网环境应该不会有攻击风险），同时应用里依赖了老的common-collections包（dubbo不会依赖这个包，请排查自己的应用有没有使用）的情况下，存在反序列化安全风险。</br>
+            请检查应用：</br>
+            将commons-collections3 请升级到3.2.2版本：https://commons.apache.org/proper/commons-collections/release_3_2_2.html</br>
+            将commons-collections4 请升级到4.1版本：https://commons.apache.org/proper/commons-collections/release_4_1.html</br>
+            新版本的commons-collections解决了该问题</br>
+        </td>
+    </tr>
+</table></div>
+
 <ul>
 	<li>如果服务接口继承了java.rmi.Remote接口，可以和原生RMI互操作，即：
 	<ul>

Rmi+Protocol.htm

diff --git a/Rmi+Protocol.htm b/Rmi+Protocol.htm
index fc3ba34..2855cbf 100644
--- a/Rmi+Protocol.htm
+++ b/Rmi+Protocol.htm
@@ -795,7 +795,17 @@
 <p>(<a href="Rmi+Protocol.htm" tppabs="http://10.20.160.198/wiki/display/dubbo/Rmi+Protocol" title="Rmi Protocol">+</a>) (<a href="#RmiProtocol-rmi%253A%252F%252F">#</a>)</p>
 
 <div class='panelMacro'><table class='tipMacro'><colgroup><col width='24'><col></colgroup><tr><td valign='top'><img src="check.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/check.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td><td>RMI协议采用JDK标准的java.rmi.*实现，采用阻塞式短连接和JDK标准序列化方式。</td></tr></table></div>
-
+<div class='panelMacro'><table class='warningMacro'><colgroup><col width='24'><col></colgroup>
+    <tr>
+        <td valign='top'><img src="warning-3.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/warning.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td>
+        <td>如果正在使用RMI提供服务给外部访问（公司内网环境应该不会有攻击风险），同时应用里依赖了老的common-collections包（dubbo不会依赖这个包，请排查自己的应用有没有使用）的情况下，存在反序列化安全风险。</br>
+            请检查应用：</br>
+            将commons-collections3 请升级到3.2.2版本：https://commons.apache.org/proper/commons-collections/release_3_2_2.html</br>
+            将commons-collections4 请升级到4.1版本：https://commons.apache.org/proper/commons-collections/release_4_1.html</br>
+            新版本的commons-collections解决了该问题</br>
+        </td>
+    </tr>
+</table></div>
 <ul>
 	<li>如果服务接口继承了java.rmi.Remote接口，可以和原生RMI互操作，即：
 	<ul>