Apache Axis远程代码执行0day漏洞处置建议

发布时间 2019-06-19

漏洞编号和级别


v3盛星彩票 CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定


影响版本


受影响的版本

适用于Apache Axis <= 1.4版本,Axis 允许远程管理,使用 Freemarker 插件的情况下存在漏洞。


影响范围


v3盛星彩票 影响范围较小,国内暴露在公网的Axis,不到80个ip。


漏洞概述


Apache Axis是美国阿帕奇(Apache)软件基金会的一个开源、基于XML的Web服务架构。该产品包含了Java和C++语言实现的SOAP服务器,以及各种公用服务及API,以生成和部署Web服务应用。


Apache Axis中存在远程命令执行漏洞,攻击者可通过发送精心构造的恶意 HTTP-POST 请求,获得目标服务器权限,在未授权情况下远程执行命令。


漏洞验证


v3盛星彩票 暂无POC/EXP。


修复建议


v3盛星彩票 官方暂未发布针对此漏洞的修复补丁,在官方修复之前,可以采取以下方式进行临时防护:


1、删除Axis

如果当前系统不需要使用Axis的功能,可在lib目录下找到axis.jar文件,将其删除。在执行删除操作前请对文件做好备份,防止因删除文件导致的业务中断。


2、禁用Axis远程管理
到网站目录下找到server-config.wsdd文件,用文本编辑器打开,找到enableRemoteAdmin配置项,将值设置为false,如图所示:

 

v3盛星彩票