论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2012-07-27 11:37 |只看该作者 |倒序浏览

storage_service.c 在处理非法cmd是，回复的数据长度是clientinfo->total_length ，total_length 可能是由非法客户端传入。
当total_length > task->size 时，client_sock_write 中的send 会访问越界
非法的客户端指在多线程环境下调用fastdfs的客户端

文库|博客

houxuehua

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2012-07-27 11:38 |只看该作者

版本3.09

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

happy_fish100

巨富豪门

论坛徽章:: 4

3楼 [报告]

发表于 2012-07-27 11:52 |只看该作者

回复 2# houxuehua

怀疑是libevent引起的core。请检查一下libevent版本！
你可以使用libevent 1.4.14b来排除不是libevent引起的，谢谢！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

houxuehua

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2012-07-27 12:17 |只看该作者

如果恶意客户端伪造pkt_len= 2的25次方， cmd = -50, 字段导致clientinfo 里的total_length= 2的25次方，程序难道不会访问越界？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

houxuehua

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2012-07-27 12:19 |只看该作者

client_sock_write 中的send 里判断下发送的长度是否超过 task->size 至少可以保证内存不会访问越界

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

happy_fish100

巨富豪门

论坛徽章:: 4

6楼 [报告]

发表于 2012-07-27 13:01 |只看该作者

回复 1# houxuehua

回复时的包长度clientinfo->total_length，是由server来设置的，不是客户端传递的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

houxuehua

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2012-07-27 13:20 |只看该作者

client_sock_read

pClientInfo->total_length=buff2long(((TrackerHeader *) \
pTask->data)->pkg_len);

pkg_len 是客户端输入的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

happy_fish100

巨富豪门

论坛徽章:: 4

8楼 [报告]

发表于 2012-07-27 14:31 |只看该作者

本帖最后由 happy_fish100 于 2012-07-27 16:30 编辑

回复 7# houxuehua

代码要看完整。不能看一部分就说有问题。
接收数据包，当然是client告诉数据包有多长滴。
发送数据包，必须由server来决定要返回多大的数据。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

houxuehua

白手起家

论坛徽章:: 0

9楼 [报告]

发表于 2012-07-27 16:23 |只看该作者

$14 = {client_ip = "192.168.57.212\000", ev_read = {ev_next = {tqe_next = 0x0, tqe_prev = 0xb3fa2340}, ev_active_next = {tqe_next = 0x0, tqe_prev = 0x80cd038}, ev_signal_next = {tqe_next = 0x0, tqe_prev = 0x0}, min_heap_idx = 4294967295, ev_base = 0x80d12e8, ev_fd = 32, ev_events = 2, ev_ncalls = 0, ev_pncalls = 0xb3fa22fe, ev_timeout = {tv_sec = 24713, tv_usec = 559315}, ev_pri = 0, ev_callback = 0x8086aab <client_sock_read>, ev_arg = 0xb3fa3008, ev_res = 2, ev_flags = 128}, ev_write = {ev_next = {tqe_next = 0x0, tqe_prev = 0xb3fa2340}, ev_active_next = {tqe_next = 0x0, tqe_prev = 0x80cd038}, ev_signal_next = {tqe_next = 0x0, tqe_prev = 0x0}, min_heap_idx = 4294967295, ev_base = 0x80d12e8, ev_fd = 32, ev_events = 4, ev_ncalls = 0, ev_pncalls = 0xb3fa22fe, ev_timeout = {tv_sec = 24749, tv_usec = 352032}, ev_pri = 0, ev_callback = 0x8086f6c <client_sock_write>, ev_arg = 0xb3fa3008, ev_res = 4, ev_flags = 128}, arg = 0xb3fa30c8, data = 0xb3fa342c "", size = 262144, length = 1837327, offset = 868480, req_count = 0, next = 0xb3fe342c, finish_callback = 0}

这是我用伪造的客户端，服务器在client_sock_write,send 函数处， print *pTask 所得的结果。
data 访问没有越界吗？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

happy_fish100

巨富豪门

论坛徽章:: 4

10楼 [报告]

发表于 2012-07-27 16:31 |只看该作者

回复 9# houxuehua

你伪造的客户端，发送的数据是啥呢？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 / 2 页下一页

返回列表

Chinaunix › 论坛 › IT运维 › 分布式文件系统（FastDFS） › fastdfs storaged 崩溃

[FastDFS] fastdfs storaged 崩溃 [复制链接]

浏览过的版块