Apache Axis 是一个开源的、构建基于XML的 Web 服务架构。它包含了 Java 和 C++ 语言实现的SOAP 服务器,以及各种公用服务及 API 用以生成和部署 Web 服务应用。
Apache Axis存在任意代码执行漏洞, 攻击者可以发送精心构造的恶意HTTP-POST请求,获得目标服务器的权限,在未授权的情况下远程执行命令。
目前,Apache Axis 已停止更新维护。建议用户可升级至Apache Axis2。若无法完成升级,参考的漏洞修补措施如下:
1、配置URL访问控制策略:
可通过 ACL 禁止对 /services/AdminService 及 /services/FreeMarkerService 路径的访问。
2、禁用 Apache Axis 远程管理功能
修改 server-config.wsdd 文件中的 enableRemoteAdmin 配置项,将值设置为 false 。