【漏洞详情】
由于Apache Axis附带的默认服务包含硬编码的HTTP URL,攻击者可以通过域名(www.xmltoday.com)接管或者通过ARP欺骗服务器从而执行MITM攻击,并将HTTP请求重定向到恶意Web服务器,在Apache Axis服务器上远程执行代码(CVE-2019-0227),成功利用后漏洞对影响整个系统数据安全,漏洞危害大。
【风险评级】
高危
【影响范围】
Apache Axis Version = 1.4
【修复建议】
如果必须使用Axis,建议删除Axis根目录中jws文件;
确保在Axis或Axis2中运行的任何库或服务不存在外联的HTTP/HTTPS请求;
升级到Apache Axis2版本,Apache Axis2的下载地址为:http://axis.apache.org/axis2/java/core/download.html。
【参考链接】
https://rhinosecuritylabs.com/application-security/cve-2019-0227-expired-domain-rce-apache-axis/
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。