【安全通告】Apache Axis 远程代码执行(CVE-2019-0227)

作者:   广州非凡信息安全技术有限公司(总部广州) 2019/05/16 11:57:17 126次阅读 国际

dd884f3a8c7a94e3dc80deb9b8758de0.png

    Axis附带的默认服务StockQuoteService.jws包含一个硬编码的HTTP URL,可用于触发HTTP请求。攻击者可以通过域名(www.xmltoday.com)接管或者通过ARP欺骗服务器从而执行MITM攻击,并将HTTP请求重定向到恶意Web服务器,在Apache Axis服务器上远程执行代码(CVE-2019-0227)。
    目前为了防止域名www.xmltoday.com被恶意攻击者利用,已经有白帽子将其购买。

关于Apache Axis

    Apache Axis是一种简单对象访问协议(SOAP)引擎,目前已经支持SOAP1.2/REST。

受影响的版本

    Apache Axis Version = 1.4

不受影响的版本

    Apache Axis2 所有版本(目前暂时没有发现Axis2的服务存在外联现象)。

解决方案

    如果正在使用Axis,可以删除Axis根目录中StockQuoteService.jws文件。
    确保在Axis或Axis2中运行的任何库或服务不存在外联的HTTP/HTTPS请求。

Apache Axis2的下载地址为:

   http://axis.apache.org/axis2/java/core/download.html

参考文档:

    https://rhinosecuritylabs.com/application-security/cve-2019-0227-expired-domain-rce-apache-axis/


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室