2020-12-30

最新推荐文章于 2022-08-14 08:20:10 发布
最新推荐文章于 2022-08-14 08:20:10 发布
阅读量463 收藏
点赞数
分类专栏: 技术分享 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38546942/article/details/111940541
版权

老项目升级从dubbo.2.5.6升级dubbo2.7.7 碰到的问题

最近一个维护的一个老项目,因为dubbo序列化的漏洞问题,甲方要求必须强制升级到dubbo服务到2.7.7或以上版本.本来这种项目如果没有特别的需求是不需要进行版本升级的,出力不讨好,但是现在政治任务下来了,必须要升级,那就来吧.

这里还是提一嘴漏洞的情况:

漏洞说明:

20200626_Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)具体内容请点击:https://mp.weixin.qq.com/s/iKQbdWrMG00Arg0aEUbrXQ

Apache Dubbo发布安全公告披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-1948),攻击者可以发送带有无法识别的服务名或方法名及某些恶意参数负载的RPC请求,当恶意参数被反序列化时将导致代码执行。

受影响版本

Apache Dubbo 2.7.0 - 2.7.6

Apache Dubbo 2.6.0 - 2.6.7

Apache Dubbo 2.5.x 所有版本 (官方不再支持)

不受影响版本

Apache Dubbo >= 2.7.7

项目的框架情况

  1. spring版本是 3.2.17.RELEASE
  2. dubbo版本2.5.6
  3. 无springboot
  4. jdk1.8和jdk1.7都有,一个工程分为了两个部署包,一个rpc,一个对外API.对外API是1.7版本部署在jboss4.2.3GA.
  5. 使用zookeeper作为注册中心.

升级替换的jar包

  1. dubbo 直接升级到2.7.7.注意dubbo2.7已经属于apache管理了,maven坐标已经换掉了

    <dependency>
            <groupId>org.apache.dubbo</groupId>
            <artifactId>dubbo</artifactId>
            <version>2.7.7</version>
        </dependency>

  2. jdk版本必须是1.8版本了,也就意味着如果你是低版本的jdk,需要升级.虽然官网的文档写的是1.6+,但是你查看dubbo包的MF文件,是根据1.8的jdk编译的.

  3. 需要引入必须的jar包,spring的版本需要升级.

    [INFO] +- com.alibaba:dubbo:jar:2.5.9-SNAPSHOT:compile
[INFO] |  +- org.springframework:spring-context:jar:4.3.10.RELEASE:compile
[INFO] |  +- org.javassist:javassist:jar:3.21.0-GA:compile
[INFO] |  \- org.jboss.netty:netty:jar:3.2.5.Final:compile

  4. 针对使用zk作为注册中心,以下也基本上是必须的.

     <dependency>
            <groupId>org.apache.curator</groupId>
            <artifactId>curator-framework</artifactId>
            <version>2.12.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.curator</groupId>
            <artifactId>curator-client</artifactId>
            <version>2.12.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.curator</groupId>
            <artifactId>curator-recipes</artifactId>
            <version>2.12.0</version>
        </dependency>

    dubbo的官方文档也给了一个可选依赖列表

    **可选依赖 **

    以下依赖,在主动配置使用相应实现策略时用到,需自行加入依赖。

    • netty-all 4.0.35.Final
    • mina: 1.1.7
    • grizzly: 2.1.4
    • httpclient: 4.5.3
    • hessian_lite: 3.2.1-fixed
    • fastjson: 1.2.31
    • zookeeper: 3.4.9
    • jedis: 2.9.0
    • xmemcached: 1.3.6
    • hessian: 4.0.38
    • jetty: 6.1.26
    • hibernate-validator: 5.4.1.Final
    • zkclient: 0.2
    • curator: 2.12.0
    • cxf: 3.0.14
    • thrift: 0.8.0
    • servlet: 3.0 5
    • validation-api: 1.1.0.GA 5
    • jcache: 1.0.0 5
    • javax.el: 3.0.1-b08 5
    • kryo: 4.0.1
    • kryo-serializers: 0.42
    • fst: 2.48-jdk-6
    • resteasy: 3.0.19.Final
    • tomcat-embed-core: 8.0.11
    • slf4j: 1.7.25
    • log4j: 1.2.16

调整启动脚本

start.sh 脚本com.alibaba.dubbo.container.Main 需要调整 为 org.apache.dubbo.container.Main

碰到的问题

  1. 错误日志
Caused by: java.lang.IllegalStateException: zookeeper not connected
	at org.apache.dubbo.remoting.zookeeper.curator.CuratorZookeeperClient.<init>(CuratorZookeeperClient.java:80)

代码地址

   public CuratorZookeeperClient(URL url) {
        super(url);
        try {
            int timeout = url.getParameter(TIMEOUT_KEY, DEFAULT_CONNECTION_TIMEOUT_MS);
            int sessionExpireMs = url.getParameter(ZK_SESSION_EXPIRE_KEY, DEFAULT_SESSION_TIMEOUT_MS);
            CuratorFrameworkFactory.Builder builder = CuratorFrameworkFactory.builder()
                    .connectString(url.getBackupAddress())
                    .retryPolicy(new RetryNTimes(1, 1000))
                    .connectionTimeoutMs(timeout)
                    .sessionTimeoutMs(sessionExpireMs);
            String authority = url.getAuthority();
            if (authority != null && authority.length() > 0) {
                builder = builder.authorization("digest", authority.getBytes());
            }
            client = builder.build();
            client.getConnectionStateListenable().addListener(new CuratorConnectionStateListener(url));
            client.start();
            boolean connected = client.blockUntilConnected(timeout, TimeUnit.MILLISECONDS);
            if (!connected) {
                throw new IllegalStateException("zookeeper not connected");
            }
        } catch (Exception e) {
            throw new IllegalStateException(e.getMessage(), e);
        }
    }

需要调整超时时间 默认的timeout=“3000” 设置为10000 .

<dubbo:config-center address="192.168.110.75:2181" protocol="zookeeper" port="2181" configFile="dubbo.properties" check="true" timeout="3000" group="dubbo" highestPriority="false" />

<dubbo:registry id="provider-zk" protocol="zookeeper"
                    address="${dubbo.registry.address}" timeout="10000"/>
  1. 在linux启动的时候报错 报无法初始化类org.springframework.beans.factory.BeanCreationException
2020-12-29 20:44:52,811 WARN [org.springframework.context.support.ClassPathXmlApplicationContext] - Exception thrown from ApplicationListener handling ContextClosedEvent
java.lang.NoClassDefFoundError: Could not initialize class org.springframework.beans.factory.BeanCreationException
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.instantiateBean(AbstractAutowireCapableBeanFactory.java:1154)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBeanInstance(AbstractAutowireCapableBeanFactory.java:1099)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:513)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:483)

这不是问题,因为Spring Framework中有很多API使用Java反射或递归调用,因此它们的堆栈需要更多空间。

把 -Xss512k 调大

参考 https://github.com/apache/dubbo/issues/5658

参考文档

http://dubbo.apache.org/zh/docs/v2.7/

程序民
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dubbo框架+zookeeper详解
qq_22162093的博客
03-31 1万+
Dubbo :是一个RPC框架,SOA框架: Dubbo缺省协议采用单一长连接和NIO异步通讯,适合于小数据量大并发的服务调用,以及服务消费者机器数远大于服务提供者机器数的情况。 作为RPC:支持各种传输协议,如dubbo,hession,json,fastjson,底层采用mina,netty长连接进行传输!典型的provider和cusomer模式 作为SOA:具有服务治理功能,提供服务的注册和发现,用zookeeper实现注册中心,启动时候服务端会把所有接口注册到注册中心,并且订阅configurat
dubbo 启动报错A component required a bean named ‘dubbo‘ that could not be found
sinat_16513791的博客
11-09 813
dubbo启动报错
dubbo启动报错 java.lang.reflect.InvocationTargetException null 没有提供者没有消费者
m0_67403076的博客
08-14 1345
在网上查找了一番,网上的说发众说飞云,有人说要保证提供者和消费者的包名一致,也有人说是ip的问题要在host里面配置,服务提供者的主类上没有配置注解,这个有点坑爹了,大家在配置的时候一定要注意的就是细心,否则要吃大亏的。启动dubbo时,控制台报错信息如下。后来经过一番仔细查找发现不对的地方了。打开dubbo的服务注册中心发现。浏览器访问接口测试成功。...
Dubbo项目启动报错 — [DUBBO] Failed to save registry store file, cause: Invalid file path
sao_jie的博客
06-29 4310
Dubbo项目启动报错 — [DUBBO] Failed to save registry store file, cause: Invalid file path
dubbo 2.6.2 + zookeeper 3.4.13 + SpringBoot 2.0.5 搭建
xingxing_tx的博客
11-09 1370
代码地址 :https://github.com/xingxingtx/SpringBoot.git gitclone:git@github.com:xingxingtx/SpringBoot.git 代码大致结构如下图:  创建工程名为: springboot-dubbo-provide  工程用于提供服务。 springboot-dubbo-api  工程主要是放一些servic...
人民日报微博数据(2019-12-31至2020-12-31)13577条
01-30
微博id 微博正文 原始图片url 发布位置 发布时间 发布工具 点赞数 转发数 评论数
UCF-LKM-DATA-PT-12-2020-UC
02-21
下午12:30-下午1:00 假期日程安排 假期 日期 天 寒假 202012月24日 周四 202012月26日 周六 202012月29日 周二 202012月31日 周四 2021年1月2日 周六 纪念日 2021年5月29日 周六 回购准则 您对该存储库具有...
Draft 2020-04-30 12:24:24-数据集
03-26
标题 "Draft 2020-04-30 12:24:24-数据集" 暗示我们正在处理一个与数据相关的项目,可能是一个研究草案或分析报告,创建于2020年4月30日。这个数据集包含了多个CSV文件,这些文件可能是用于训练和测试机器学习模型的...
2020-12-08-刘永鑫1
08-03
报告人简介:刘永鑫,宏基因组公众号创始人,中科院青促会会员。目前发表论文30余篇,被引2000余次,主持国自然和中科院项目,在编专著《微生物组数据分析》、《微生
美国新冠疫情数据2020-1至2021-12-01(天-周-月)
最新发布
04-15
时间跨度 2020-1至2021-12- 01(天/周/月) 时间频率 年度 区域跨度 美国 大洲 国家名称 dateti me 累计确诊数量 累计治愈数量 累计死亡数量 北美洲 美国 2021/12/ 31 54148314 41455786 824030 北美洲 美国 2021 ...
dubbo报Run shutdown hook now,tomcat不定时宕机
u011787709的博客
01-25 8863
日志报了很多but has failed to stop it. This is very likely to create a memory leak.一开始分析都以为是tomcat内存不够,加大内存还是一样!也调整过dubbo线程数,问题还是没有解决,百度、google参考的资料都很少 后面分析zk日志,有出现error:keeperErrorCode=nodeExists!节点重复,zkCl...
Dubbo_学习笔记
滨海之君的博客
08-09 261
一.安装ZooKeeper注册中心(Registry) 1.官网下载zookeeper,解压后,运行bin目录下的zkServer.cmd会报错 如果报JAVA_HOME 没有设置相关的错误的话,可以在zkServer.cmd文件中添加如图设置: 二.安装监控中心(dubbo-admin) 管理控制台 监控中心可以帮助用户通过可视化界面监控各项服务,不安装的话不会影响任何业务功能 监控中心安装需要去GitHub上下载 dubbo-admin下需要设置一处配置.如图: 然后在dubbo-admin下运
DUBBO 详细介绍
qq_39557916的博客
07-26 326
DUBBO+SPRINGMVC+MYBATIS+EHCACHE+REDIS J2EE分布式架构 愿意了解框架技术或者源码的朋友直接求求交流分享技术:2042849237
dubbo版本升级的重要性【spring boot +dubbo
kevin.xia 的专栏
11-25 5018
dubbo集成到spring boot中,充当消费者 使用的是注解的配置方式。 1、pom.xml中添加 com.alibaba dubbo 2.5.4 provided org.springframework spring
dubbo monitor 2.6 安装与搭建
风语落尘
06-22 4907
Dubbo 源码:https://github.com/apache/incubator-dubbo/Dubbo 版本历史:https://github.com/apache/incubator-dubbo/releases首先提供dubbo-monitor-2.6 服务下载地址: 上传中...待上传完成后,稍候更新。下面提供获取dubbo-monitor 服务方法:             访问...
dubbo版本升级关于序列化问题
LALOUY的博客
03-02 5695
最近两年公司项目dubbo进行升级,从2.5.6升级至2.6.9 至今又升级为2.6.10 主要升级的原因是序列化存在漏洞,需要使用hession协议进行序列化操作。 2.6.9 在2.6.9引入白名单,因为hessian默认支持java.*的所有类进行序列化,所以重写AbstractHessian2FactoryInitializer配置白名单参数 是否开启白名单 *static String WHITELIST = "dubbo.application.hessian2.whitelist";*
通过API接口实现图片上传
weixin_38546942的博客
11-05 7509
工作日常系列- 通过API接口实现图片上传 需求 近期在接口功能实现要求,实现一个API图片上传,补充商户开户后补充图片信息,用于管理人员审核. 业务要求 图片有多条,法人信息,授权信息,等 有必填图片,有非必填图片,文件大小限制为2MB. 必填的图片未上传,则本次均不录入数据库. 图片要求在一次确认后,审核人员才能显示. 需要进行相关得记录,用于后续查看. 详细设计 为了满足以上实现,有两种实现方式 单个批量接口 所有的文件通过一个接口批量上传. 文件单条上传+确认上传. 文件大小在2MB,如果批
将2018-01-01 08:00:00到2020-12-30 00:00:00,时间连续每小时取1个值,输出为excel
09-13
### 回答1: 可以使用Python中的pandas库将时间序列数据存储到DataFrame中,然后使用pandas的to_excel()方法将其输出到Excel文件中。 首先,需要使用pandas中的date_range()函数生成时间索引,确定时间范围从2018-01-01 08:00:00到2020-12-30 00:00:00,每小时取一个值。 其次,使用pandas中的DataFrame()函数创建一个新的DataFrame并将时间索引设置为刚才生成的时间索引。 最后,使用DataFrame的to_excel()方法将其输出到Excel文件中。 代码示例如下: ``` python import pandas as pd # 生成时间索引 time_index = pd.date_range('2018-01-01 08:00:00', '2020-12-30 00:00:00', freq='H') # 创建新的DataFrame并将时间索引设置为刚才生成的时间索引 df = pd.DataFrame(index=time_index) # 输出到Excel文件 df.to_excel('output.xlsx') ``` ### 回答2: 首先,我们需要计算从2018年1月1日08:00:00到20201230日00:00:00的总小时数。我们可以使用日期时间函数来完成这个计算。 首先,计算起始日期和结束日期之间的总天数。起始日期是2018年1月1日08:00:00,结束日期是20201230日00:00:00。计算这两个日期之间的天数,可以使用以下公式: =end_date - start_date + 1 其中,"+1"是因为起始日期所占的一天也要计算在内。 接下来,计算总小时数。因为每天有24小时,所以总小时数等于总天数乘以24。公式如下: total_hours = total_days * 24 现在我们知道了从起始日期到结束日期的总小时数,我们可以使用循环来逐小时生成日期时间,并将其写入Excel文件。我们可以使用Python中的openpyxl库来实现这个功能。 首先,导入必要的库: import openpyxl from datetime import datetime, timedelta 然后,创建一个新的Excel工作簿: workbook = openpyxl.Workbook() sheet = workbook.active 接下来,设置起始日期和结束日期: start_date = datetime(2018, 1, 1, 8, 0, 0) end_date = datetime(2020, 12, 30, 0, 0, 0) 然后,用循环生成连续的日期时间,并将其写入Excel文件: current_date = start_date for i in range(total_hours): sheet.cell(row=i+1, column=1).value = current_date current_date += timedelta(hours=1) 最后,保存Excel文件: workbook.save('output.xlsx') 以上就是将2018年1月1日08:00:00到20201230日00:00:00的连续时间每小时取一个值,并输出为Excel文件的步骤。 ### 回答3: 要将2018-01-01 08:00:00到2020-12-30 00:00:00这个时间范围内每小时连续取一个值,并输出到Excel文件中,可以使用Python编程语言中的pandas和openpyxl库来实现。 首先,我们需要导入所需的库: ```python import pandas as pd from openpyxl import Workbook ``` 接下来,我们可以创建一个日期范围,从2018-01-01 08:00:00到2020-12-30 00:00:00,每小时的频率,并将其存储在一个DataFrame中: ```python start_date = pd.Timestamp('2018-01-01 08:00:00') end_date = pd.Timestamp('2020-12-30 00:00:00') date_range = pd.date_range(start=start_date, end=end_date, freq='1H') df = pd.DataFrame(date_range, columns=['Timestamp']) ``` 然后,我们可以向DataFrame中添加其他需要的列,例如年、月、日和小时: ```python df['Year'] = df['Timestamp'].dt.year df['Month'] = df['Timestamp'].dt.month df['Day'] = df['Timestamp'].dt.day df['Hour'] = df['Timestamp'].dt.hour ``` 最后,我们可以使用openpyxl库将DataFrame保存到Excel文件中: ```python output_file = 'output.xlsx' with pd.ExcelWriter(output_file, engine='openpyxl') as writer: df.to_excel(writer, index=False) ``` 完整的代码如下: ```python import pandas as pd from openpyxl import Workbook start_date = pd.Timestamp('2018-01-01 08:00:00') end_date = pd.Timestamp('2020-12-30 00:00:00') date_range = pd.date_range(start=start_date, end=end_date, freq='1H') df = pd.DataFrame(date_range, columns=['Timestamp']) df['Year'] = df['Timestamp'].dt.year df['Month'] = df['Timestamp'].dt.month df['Day'] = df['Timestamp'].dt.day df['Hour'] = df['Timestamp'].dt.hour output_file = 'output.xlsx' with pd.ExcelWriter(output_file, engine='openpyxl') as writer: df.to_excel(writer, index=False) ``` 运行这段代码将生成一个名为output.xlsx的Excel文件,其中包含从2018-01-01 08:00:00到2020-12-30 00:00:00每小时连续取一个值的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值