关于Apache AXIS远程命令执行漏洞的安全提示

6月20日，工业和信息化部网络安全威胁信息共享平台收到关于Apache AXIS远程命令执行漏洞（CNNVD-201906-685）的情报。攻击者利用该漏洞可在未授权的情况下远程执行命令。该漏洞危害程度为高危(High)。目前，Apache官方暂未发布该针对该漏洞的安全补丁。

一、漏洞情况概述

Apache AXIS 是一个开源、建基于XML的Web服务架构。它包含了Java和C++语言实现的SOAP服务器，以及各种公用服务及API用以生成和部署Web服务应用。攻击者可以发送精心构造的恶意HTTP-POST请求，获得目标服务器的权限，在未授权的情况下远程执行命令。

二、漏洞影响范围及处置情况

受影响版本：

Apache AXIS 1.4之前的版本。

截止目前，Apache官方暂未发布修复该漏洞的相关补丁。为尽快消除安全风险，中国信息通信研究院将进一步严密监测该漏洞发展态势，发出安全提示并指导相关用户尽快修复相关问题。

三、漏洞修复建议

目前，Apache官方暂未发布该漏洞补丁，但可以通过临时修补措施缓解漏洞带来的危害，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。漏洞修补措施如下：

1、配置URL访问控制策略

可通过ACL禁止对/services/AdminService及/services/FreeMarkerService路径的访问。

2、禁用AXIS远程管理功能

到网站目录下找到server-config.wsdd文件，用文本编辑器打开，找到enableRemoteAdmin配置项，将值设置为false。

中国信息通信研究院后续将密切监测和关注相关情况。如需技术支援，请联系中国信息通信研究院。