(028)61831184 
工作日9:00-12:00,13:00-17:00
iservice@uestc.edu.cn
信息安全
Apache AXIS远程命令执行漏洞预警
发布于:2019-06-19 09:25:13   |   作者:宋元凤   |   浏览次数:

近日,通过上级部门数据监控发现,出现Apache AXIS远程命令执行漏洞最新利用代码,目该漏洞处于0day状态,危害级别高,请广大用户及时处理。

1、漏洞概述

在使用 Freemarker 模板的情况下,如果开启了远程管理功能,应用在处理输入信息时存在缺陷,攻击者可以发送恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。

2、影响范围

影响版本:Apache AXIS <= 1.4,同时AXIS允许远程管理,使用 Freemarker 模板的情况下存在漏洞(默认情况下,AXIS关闭了远程管理功能)。

AXIS1.4 + Tomcat8.5 + JDK8 环境下复现成功。

3、修复建议:

目前,官方尚未出补丁。临时缓解措施如下:

l 禁用AXIS 远程管理功能

AXIS <= 1.4 版本默认关闭了远程管理功能,如非必要请勿开启。若需关闭,则需修改 AXIS 目录下 WEB-INF 文件夹中的 server-config.wsdd 文件,将其中"enableRemoteAdmin"的值设置为 false

http://aqtb.xxaq.moe.edu.cn/group2/M00/00/A1/rBOVGF0IYz6AEgaEAAD21RVM6hM236.png

l 配置URL访问控制策略

部署于公网的 AXIS 服务器,可通过 ACL 禁止对/services/AdminService /services/FreeMarkerService 路径的访问。