关于Apache AXIS远程命令执行高危漏洞的紧急预警通报

近日，国家信息安全漏洞库（CNNVD）发布了关于Apache AXIS远程命令执行漏洞的通告。成功利用该漏洞的攻击者，可以在目标系统中执行恶意代码。该漏洞安全级别为“高危”。现将漏洞详情通报如下：

一、漏洞情况

Apache AXIS 是一款开源、基于XML的Web服务架构的产品。它包含了Java和C++语言实现的SOAP服务器、各种公用服务API以及用以生成和部署Web服务应用。攻击者可以发送精心构造的恶意HTTP-POST请求，以获得目标服务器的权限，在目标系统中执行恶意代码，并在未授权的情况下远程执行命令。

二、影响范围

Apache AXIS 1.4之前的版本均会受此漏洞影响。

三、处置建议

截至目前，Apache官方暂未发布该漏洞补丁，但可以通过临时修补措施缓解漏洞带来的危害。建议广大用户及时采取修补措施。漏洞修补措施如下：

（一）配置URL访问控制策略：可通过ACL禁止对/services/AdminService及/services/FreeMarkerService路径的访问。

（二）禁用AXIS远程管理功能：到网站目录下找到server-config.wsdd文件，用文本编辑器打开，找到enableRemoteAdmin配置项，将值设置为true。

附件：

参考链接：

http://www.cnnvd.org.cn/web/bulletin/bulletinById.tag?mkid=145