内容简介:1 漏洞描述Apache Axis 是一个开源、建基于XML的Web服务架构。它包含了Java和C++语言实现的SOAP服务器,以及各种公用服务及API以生成和部署Web服务应用。用Apache Axis开发者能够创造可互操作的,分布式的计算应用。Axis是在Apache软件基金会主持下制订的。
1 漏洞描述
Apache Axis 是一个开源、建基于XML的Web服务架构。它包含了 Java 和C++语言实现的SOAP服务器,以及各种公用服务及API以生成和部署Web服务应用。用Apache Axis开发者能够创造可互操作的,分布式的计算应用。Axis是在Apache软件基金会主持下制订的。
近日,互联网爆发出Apache Axis远程命令执行漏洞。攻击者可以发送精心构造的恶意HTTP-POST请求,获得目标服务器的权限,在未授权的情况下远程执行命令。该漏洞危 害程 度为 高危(High) 。目前,厂商针对该漏洞未发布安全补丁,漏洞属于 0day 。
2 影响范围
受影响版本:
ApacheAxis <= 1.4
3 修复建议
我们强烈建议大家:
1) 配置URL访问控制策略:
部署于公网的Axis服务器,可通过ACL禁止对
/services/AdminService及/services/FreeMarkerService路径的访问。
2) 禁用Axis远程管理功能:
Axis <= 1.4版本默认关闭了远程管理功能,如非必要请勿开启。
若需关闭,则需修改Axis目录下WEB-INF文件夹中的server-config.wsdd文件,将其中"enableRemoteAdmin"的值设置为false。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)
- 漏洞预警 | ThinkPHP5远程命令执行漏洞
- Influxdb 认证绕过漏洞预警
- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
- 【漏洞预警】Coremail邮件系统配置文件信息泄露漏洞
- 【漏洞预警】Joomla!3.7.0 Core SQL注入漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
尽在双11:阿里巴巴技术演进与超越
阿里巴巴集团双11技术团队 / 电子工业出版社 / 2017-4 / 79
“双 11”,诞生于杭州,成长于阿里,风行于互联网,成就于新经济,贡献于全世界。 从 2009 年淘宝商城起,双 11 已历经八年。每年的双 11 既是当年的结束,又是走向未来的起点。技术的突破创新,商业模式的更替交互,推动着双 11 迈步向前。 《尽在双11——阿里巴巴技术演进与超越》是迄今唯一由阿里巴巴集团官方出品、全面阐述双 11 八年以来在技术和商业上演进和创新历程的书籍。内容......一起来看看 《尽在双11:阿里巴巴技术演进与超越》 这本书的介绍吧!
