近日����,國家信息安全漏洞庫(CNNVD)收到關于Apache AXIS遠程命令執(zhí)行漏洞(CNNVD-201906-685)情況的報送�����。成功利用漏洞的攻擊者可在未授權情況下對目標服務器遠程執(zhí)行命令�。 Apache AXIS 1.4之前的版本均受此漏洞影響�。目前�,Apache官方暫未發(fā)布該漏洞補丁,但可以通過臨時修補措施緩解漏洞帶來的危害�����,建議用戶及時確認是否受到漏洞影響��,盡快采取修補措施��。
一����、漏洞介紹
Apache AXIS 是一個開源、建基于XML的Web服務架構����。它包含了Java和C++語言實現(xiàn)的SOAP服務器�����,以及各種公用服務及API用以生成和部署Web服務應用��。攻擊者可以發(fā)送精心構造的惡意HTTP-POST請求���,獲得目標服務器的權限,在未授權的情況下遠程執(zhí)行命令����。
二、危害影響
成功利用該漏洞的攻擊者�,可以在目標系統(tǒng)中執(zhí)行惡意代碼。Apache AXIS 1.4之前的版本均受此漏洞影響�����。
三���、修復建議
目前��,Apache官方暫未發(fā)布該漏洞補丁�����,但可以通過臨時修補措施緩解漏洞帶來的危害�����,建議用戶及時確認是否受到漏洞影響��,盡快采取修補措施����。漏洞修補措施如下:
1、配置URL訪問控制策略:
可通過ACL禁止對/services/AdminService及/services/FreeMarkerService路徑的訪問��。
2����、禁用AXIS遠程管理功能
到網(wǎng)站目錄下找到server-config.wsdd文件���,用文本編輯器打開�����,找到enableRemoteAdmin配置項����,將值設置為false。
本通報由CNNVD技術支撐單位——奇安信科技集團股份有限公司�、北京神州綠盟信息安全科技股份有限公司。
CNNVD將繼續(xù)跟蹤上述漏洞的相關情況���,及時發(fā)布相關信息����。如有需要�,可與CNNVD聯(lián)系。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
