Apache Axis 任意代码执行漏洞（CVE-2019-0227）

admin

0
文章

0
评论

2023-11-25 01:31:17 Ali_highrisk 来源：ZONE.CI 全球网 0 阅读模式

严重 Apache Axis 任意代码执行漏洞（CVE-2019-0227）

CVE编号

CVE-2019-0227

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2019-05-02

漏洞描述

Apache Axis 是一个开源的、构建基于XML的 Web 服务架构。它包含了 Java 和 C++ 语言实现的SOAP 服务器，以及各种公用服务及 API 用以生成和部署 Web 服务应用。 Apache Axis存在任意代码执行漏洞，攻击者可以发送精心构造的恶意HTTP-POST请求，获得目标服务器的权限，在未授权的情况下远程执行命令。

解决建议

目前，Apache Axis 已停止更新维护。建议用户可升级至Apache Axis2。若无法完成升级，参考的漏洞修补措施如下：1、配置URL访问控制策略：可通过 ACL 禁止对 /services/AdminService 及 /services/FreeMarkerService 路径的访问。2、禁用 Apache Axis 远程管理功能修改 server-config.wsdd 文件中的 enableRemoteAdmin 配置项，将值设置为 false 。

参考链接
https://lists.apache.org/thread.html/r3a5baf5d76f1f2181be7f54da3deab70d7a38b5...
https://lists.apache.org/thread.html/r3a5baf5d76f1f2181be7f54da3deab70d7a38b5...
https://lists.apache.org/thread.html/r6d03e45b81eab03580cf7f8bb51cb3e9a1b10a2...
https://lists.apache.org/thread.html/r6d03e45b81eab03580cf7f8bb51cb3e9a1b10a2...
https://rhinosecuritylabs.com/application-security/cve-2019-0227-expired-doma...
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujul2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
https://xz.aliyun.com/t/5513

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	axis	1.4	-
	运行在以下环境
	系统	debian_10	axis	*		Up to (including) 1.4-28
	运行在以下环境
	系统	debian_11	axis	*		Up to (including) 1.4-28
	运行在以下环境
	系统	debian_12	axis	*		Up to (including) 1.4-28
	运行在以下环境
	系统	debian_9	axis	*		Up to (including) 1.4-25
	运行在以下环境
	系统	debian_sid	axis	*		Up to (including) 1.4-29