关于Apache AXIS远程命令执行漏洞的说明和处理办法
时间:2021-10-15
责任编辑:肖乐审核人:肖乐
浏览次数:次
Apache AXIS远程命令执行漏洞:在使用Freemarker模板的情况下,如果开启了远程管理功能,由于应用在处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP请求,获得目标服务器的权限,在未授权的情况下远程执行命令。
整改建议:(1)配置URL访问控制策略:可通过ACL禁止对/services/AdminService及/services/FreeMarkerService路径的访问;(2)禁用AXIS远程管理功能:到网站目录下找到server-config.wsdd文件,用文本编辑器打开,找到enableRemoteAdmin配置项,将值设置为false。