暂无图片 暂无图片

首页 >当前位置: 首页 > 教育技术> 信息化管理> Apache AXIS远程命令执行漏洞预警

Apache AXIS远程命令执行漏洞预警

作者:教育技术 发布时间:2019-06-19 13:18:00 点击数:2214

各单位:

近期Apache AXIS发现较严重的安全漏洞。请有使用Apache AXIS 1.4及以下版本的单位查阅相关预警信息,做好本单位的安全防护工作。

1、漏洞概述

近日,通过数据监控发现,出现Apache AXIS远程命令执行漏洞最新利用代码,目前该漏洞处于0day状态。在使用 Freemarker 模板的情况下,如果开启了远程管理功能,由于应用在处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。

危害级别:高危

2、影响范围

影响版本:Apache AXIS <= 1.4,同时AXIS允许远程管理,使用 Freemarker 模板的情况下存在漏洞(默认情况下,AXIS关闭了远程管理功能)。

AXIS1.4 + Tomcat8.5 + JDK8 环境下复现成功。

3、修复建议:

目前,官方尚未出补丁。临时缓解措施如下:

l 禁用AXIS 远程管理功能

AXIS <= 1.4 版本默认关闭了远程管理功能,如非必要请勿开启。若需关闭,则需修改 AXIS 目录下 WEB-INF 文件夹中的 server-config.wsdd 文件,将其中"enableRemoteAdmin"的值设置为 false


l 配置URL访问控制策略

部署于公网的 AXIS 服务器,可通过 ACL 禁止对/services/AdminService

/services/FreeMarkerService 路径的访问。


信息服务管理中心

2019年6月19日