commit 757e267221250b10c9d5bb7ba69c7d4676a7f3a3
author Jerry Lee <oldratlee@gmail.com> Tue Apr 19 23:45:27 2016 +0800
committer Jerry Lee <oldratlee@gmail.com> Tue Apr 19 23:45:27 2016 +0800
tree beec7e29c6dea84422efbe02d99382076129ef3e
parent edbafa5ecb060af62cf7d264df7ad7c3be3568ea

增加RMI安全漏洞说明提示

Protocol+Reference-zh.htm

diff --git a/Protocol+Reference-zh.htm b/Protocol+Reference-zh.htm
index 2420928..bb3355b 100644
--- a/Protocol+Reference-zh.htm
+++ b/Protocol+Reference-zh.htm
@@ -961,6 +961,18 @@
 
 <div class='panelMacro'><table class='tipMacro'><colgroup><col width='24'><col></colgroup><tr><td valign='top'><img src="check.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/check.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td><td>RMI协议采用JDK标准的java.rmi.*实现，采用阻塞式短连接和JDK标准序列化方式。</td></tr></table></div>
 
+<div class='panelMacro'><table class='warningMacro'><colgroup><col width='24'><col></colgroup>
+    <tr>
+        <td valign='top'><img src="warning-3.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/warning.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td>
+        <td>如果正在使用RMI提供服务给外部访问（公司内网环境应该不会有攻击风险），同时应用里依赖了老的common-collections包（dubbo不会依赖这个包，请排查自己的应用有没有使用）的情况下，存在反序列化安全风险。</br>
+            请检查应用：</br>
+            将commons-collections3 请升级到3.2.2版本：https://commons.apache.org/proper/commons-collections/release_3_2_2.html</br>
+            将commons-collections4 请升级到4.1版本：https://commons.apache.org/proper/commons-collections/release_4_1.html</br>
+            新版本的commons-collections解决了该问题</br>
+        </td>
+    </tr>
+</table></div>
+
 <ul>
 	<li>如果服务接口继承了java.rmi.Remote接口，可以和原生RMI互操作，即：
 	<ul>

Protocol+Reference.htm

diff --git a/Protocol+Reference.htm b/Protocol+Reference.htm
index b044e14..15e2d44 100644
--- a/Protocol+Reference.htm
+++ b/Protocol+Reference.htm
@@ -962,6 +962,18 @@
 
 <div class='panelMacro'><table class='tipMacro'><colgroup><col width='24'><col></colgroup><tr><td valign='top'><img src="check.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/check.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td><td>RMI协议采用JDK标准的java.rmi.*实现，采用阻塞式短连接和JDK标准序列化方式。</td></tr></table></div>
 
+<div class='panelMacro'><table class='warningMacro'><colgroup><col width='24'><col></colgroup>
+    <tr>
+        <td valign='top'><img src="warning-3.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/warning.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td>
+        <td>如果正在使用RMI提供服务给外部访问（公司内网环境应该不会有攻击风险），同时应用里依赖了老的common-collections包（dubbo不会依赖这个包，请排查自己的应用有没有使用）的情况下，存在反序列化安全风险。</br>
+            请检查应用：</br>
+            将commons-collections3 请升级到3.2.2版本：https://commons.apache.org/proper/commons-collections/release_3_2_2.html</br>
+            将commons-collections4 请升级到4.1版本：https://commons.apache.org/proper/commons-collections/release_4_1.html</br>
+            新版本的commons-collections解决了该问题</br>
+        </td>
+    </tr>
+</table></div>
+
 <ul>
 	<li>如果服务接口继承了java.rmi.Remote接口，可以和原生RMI互操作，即：
 	<ul>

User+Guide-zh.htm

diff --git a/User+Guide-zh.htm b/User+Guide-zh.htm
index 8ac8251..9329a69 100644
--- a/User+Guide-zh.htm
+++ b/User+Guide-zh.htm
@@ -7016,6 +7016,18 @@
 
 <div class='panelMacro'><table class='tipMacro'><colgroup><col width='24'><col></colgroup><tr><td valign='top'><img src="check.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/check.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td><td>RMI协议采用JDK标准的java.rmi.*实现，采用阻塞式短连接和JDK标准序列化方式。</td></tr></table></div>
 
+<div class='panelMacro'><table class='warningMacro'><colgroup><col width='24'><col></colgroup>
+    <tr>
+        <td valign='top'><img src="warning-3.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/warning.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td>
+        <td>如果正在使用RMI提供服务给外部访问（公司内网环境应该不会有攻击风险），同时应用里依赖了老的common-collections包（dubbo不会依赖这个包，请排查自己的应用有没有使用）的情况下，存在反序列化安全风险。</br>
+            请检查应用：</br>
+            将commons-collections3 请升级到3.2.2版本：https://commons.apache.org/proper/commons-collections/release_3_2_2.html</br>
+            将commons-collections4 请升级到4.1版本：https://commons.apache.org/proper/commons-collections/release_4_1.html</br>
+            新版本的commons-collections解决了该问题</br>
+        </td>
+    </tr>
+</table></div>
+
 <ul>
 	<li>如果服务接口继承了java.rmi.Remote接口，可以和原生RMI互操作，即：
 	<ul>

User+Guide.htm

diff --git a/User+Guide.htm b/User+Guide.htm
index d4dd470..6eb8ad3 100644
--- a/User+Guide.htm
+++ b/User+Guide.htm
@@ -7048,6 +7048,18 @@
 
 <div class='panelMacro'><table class='tipMacro'><colgroup><col width='24'><col></colgroup><tr><td valign='top'><img src="check.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/check.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td><td>RMI协议采用JDK标准的java.rmi.*实现，采用阻塞式短连接和JDK标准序列化方式。</td></tr></table></div>
 
+<div class='panelMacro'><table class='warningMacro'><colgroup><col width='24'><col></colgroup>
+    <tr>
+        <td valign='top'><img src="warning-3.gif" tppabs="http://10.20.160.198/wiki/images/icons/emoticons/warning.gif" width="16" height="16" align="absmiddle" alt="" border="0"></td>
+        <td>如果正在使用RMI提供服务给外部访问（公司内网环境应该不会有攻击风险），同时应用里依赖了老的common-collections包（dubbo不会依赖这个包，请排查自己的应用有没有使用）的情况下，存在反序列化安全风险。</br>
+            请检查应用：</br>
+            将commons-collections3 请升级到3.2.2版本：https://commons.apache.org/proper/commons-collections/release_3_2_2.html</br>
+            将commons-collections4 请升级到4.1版本：https://commons.apache.org/proper/commons-collections/release_4_1.html</br>
+            新版本的commons-collections解决了该问题</br>
+        </td>
+    </tr>
+</table></div>
+
 <ul>
 	<li>如果服务接口继承了java.rmi.Remote接口，可以和原生RMI互操作，即：
 	<ul>