前言:
现在朋友们对“apacheaxis2的使用”都比较重视,小伙伴们都需要了解一些“apacheaxis2的使用”的相关文章。那么小编也在网上收集了一些有关“apacheaxis2的使用””的相关文章,希望看官们能喜欢,看官们一起来了解一下吧!近日,中睿天下安全团队通过数据监控发现,野外出现APACHE AXIS远程命令执行漏洞,攻击者可以发送精心构造的恶意HTTP-POST请求,获得目标服务器的权限,在未授权的情况下远程执行命令。
目前,该漏洞属于Oday ,官方尚未给出任何补丁。
危害级别: [高危]
漏洞触发条件:
Apache AXIS <= 1.4 , AXIS允许远程管理,使用Freemarker插件的情况下存在漏洞;
AXIS1.4 + Tomcat8.5 + JDK8环境下复现成功;
排查方案:
通过查看中间件日志或者流量分析设备日志,确认是否有访问/services/AdminService、
/services/FreeMarkerService的记录。
修复建议:
1、配置 URL 访问控制策略
部署于公网的 AXIS 服务器,可通过 ACL 禁止对/services/AdminService 及
/services/FreeMarkerService 路径的访问
2、禁用 AXIS 远程管理功能
AXIS <= 1.4 版本默认关闭了远程管理功能,如非必要请勿开启。
若需关闭,则需修改 AXIS 目录下 WEB-INF 文件夹中的 server-config.wsdd 文件,将其 中"enableRemoteAdmin"的值设置为 false。
标签: #apacheaxis2的使用