Apache AXIS远程命令执行漏洞预警
发布人:xjzx  发布时间:2019-06-21   浏览次数:10

1、漏洞概述

近日,通过数据监控发现,出现Apache AXIS远程命令执行漏洞最新利用代码,目前该漏洞处于0day状态。在使用Freemarker模板的情况下,如果开启了远程管理功能,由于应用在处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。

危害级别:【高危】

2、影响范围

影响版本:Apache AXIS <= 1.4,同时AXIS允许远程管理,使用Freemarker模板的情况下存在漏洞(默认情况下,AXIS关闭了远程管理功能)。

AXIS1.4 + Tomcat8.5 + JDK8 环境下复现成功。

3、修复建议:

目前,官方尚未出补丁。临时缓解措施如下:

l  禁用AXIS 远程管理功能

AXIS <= 1.4 版本默认关闭了远程管理功能,如非必要请勿开启。若需关闭,则需修改 AXIS 目录下 WEB-INF 文件夹中的 server-config.wsdd文件,将其中enableRemoteAdmin的值设置为 false

l  配置URL访问控制策略

部署于公网的 AXIS 服务器,可通过 ACL 禁止对/services/AdminService/services/FreeMarkerService路径的访问。