严重 Apache Axis 任意代码执行漏洞(CVE-2019-0227)

CVE编号

CVE-2019-0227

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2019-05-02
该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。
漏洞描述
Apache Axis 是一个开源的、构建基于XML的 Web 服务架构。它包含了 Java 和 C++ 语言实现的SOAP 服务器,以及各种公用服务及 API 用以生成和部署 Web 服务应用。
Apache Axis存在任意代码执行漏洞, 攻击者可以发送精心构造的恶意HTTP-POST请求,获得目标服务器的权限,在未授权的情况下远程执行命令。
解决建议
目前,Apache Axis 已停止更新维护。建议用户可升级至Apache Axis2。若无法完成升级,参考的漏洞修补措施如下:
1、配置URL访问控制策略:
可通过 ACL 禁止对 /services/AdminService 及 /services/FreeMarkerService 路径的访问。
2、禁用 Apache Axis 远程管理功能
修改 server-config.wsdd 文件中的 enableRemoteAdmin 配置项,将值设置为 false 。
参考链接
https://lists.apache.org/thread.html/r3a5baf5d76f1f2181be7f54da3deab70d7a38b5...
https://lists.apache.org/thread.html/r6d03e45b81eab03580cf7f8bb51cb3e9a1b10a2...
https://rhinosecuritylabs.com/application-security/cve-2019-0227-expired-doma...
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujul2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
https://xz.aliyun.com/t/5513
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache axis 1.4 -
运行在以下环境
系统 debian_10 axis * Up to
(including)
1.4-28
运行在以下环境
系统 debian_11 axis * Up to
(including)
1.4-28
运行在以下环境
系统 debian_12 axis * Up to
(including)
1.4-28
运行在以下环境
系统 debian_9 axis * Up to
(including)
1.4-25
运行在以下环境
系统 debian_sid axis * Up to
(including)
1.4-28
阿里云评分
9.4
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    EXP 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    服务器失陷
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-918 服务端请求伪造(SSRF)
阿里云安全产品覆盖情况