内容简介:1 漏洞描述Apache Axis 是一个开源、建基于XML的Web服务架构。它包含了Java和C++语言实现的SOAP服务器,以及各种公用服务及API以生成和部署Web服务应用。用Apache Axis开发者能够创造可互操作的,分布式的计算应用。Axis是在Apache软件基金会主持下制订的。
1 漏洞描述
Apache Axis 是一个开源、建基于XML的Web服务架构。它包含了 Java 和C++语言实现的SOAP服务器,以及各种公用服务及API以生成和部署Web服务应用。用Apache Axis开发者能够创造可互操作的,分布式的计算应用。Axis是在Apache软件基金会主持下制订的。
近日,互联网爆发出Apache Axis远程命令执行漏洞。攻击者可以发送精心构造的恶意HTTP-POST请求,获得目标服务器的权限,在未授权的情况下远程执行命令。该漏洞危 害程 度为 高危(High) 。目前,厂商针对该漏洞未发布安全补丁,漏洞属于 0day 。
2 影响范围
受影响版本:
ApacheAxis <= 1.4
3 修复建议
我们强烈建议大家:
1) 配置URL访问控制策略:
部署于公网的Axis服务器,可通过ACL禁止对
/services/AdminService及/services/FreeMarkerService路径的访问。
2) 禁用Axis远程管理功能:
Axis <= 1.4版本默认关闭了远程管理功能,如非必要请勿开启。
若需关闭,则需修改Axis目录下WEB-INF文件夹中的server-config.wsdd文件,将其中"enableRemoteAdmin"的值设置为false。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警(CVE-2018-15961)
- 漏洞预警 | ThinkPHP5远程命令执行漏洞
- Influxdb 认证绕过漏洞预警
- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
- 【漏洞预警】Coremail邮件系统配置文件信息泄露漏洞
- 【漏洞预警】Joomla!3.7.0 Core SQL注入漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
