【漏洞預警】CNNVD 關于Apache AXIS遠程命令執行漏洞情況的通報

近日，國家信息安全漏洞庫（CNNVD）收到關于Apache AXIS遠程命令執行漏洞（CNNVD-201906-685）情況的報送。成功利用漏洞的攻擊者可在未授權情況下對目標服務器遠程執行命令。 Apache AXIS 1.4之前的版本均受此漏洞影響。目前，Apache官方暫未發布該漏洞補丁，但可以通過臨時修補措施緩解漏洞帶來的危害，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

Apache AXIS 是一個開源、建基于XML的Web服務架構。它包含了Java和C++語言實現的SOAP服務器，以及各種公用服務及API用以生成和部署Web服務應用。攻擊者可以發送精心構造的惡意HTTP-POST請求，獲得目標服務器的權限，在未授權的情況下遠程執行命令。

二、危害影響

成功利用該漏洞的攻擊者，可以在目標系統中執行惡意代碼。Apache AXIS 1.4之前的版本均受此漏洞影響。

三、修復建議

目前，Apache官方暫未發布該漏洞補丁，但可以通過臨時修補措施緩解漏洞帶來的危害，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。漏洞修補措施如下：

1、配置URL訪問控制策略：

可通過ACL禁止對/services/AdminService及/services/FreeMarkerService路徑的訪問。

2、禁用AXIS遠程管理功能

到網站目錄下找到server-config.wsdd文件，用文本編輯器打開，找到enableRemoteAdmin配置項，將值設置為false。