1、漏洞概述
近日,通过数据监控发现,出现Apache AXIS远程命令执行漏洞最新利用代码,目前该漏洞处于0day状态。在使用 Freemarker 模板的情况下,如果开启了远程管理功能,由于应用在处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。
危害级别:【高危】
2、影响范围
影响版本:Apache AXIS < ="1.4,同时AXIS允许远程管理,使用" freemarker 模板的情况下存在漏洞(默认情况下,axis关闭了远程管理功能)。
AXIS1.4 + Tomcat8.5 + JDK8 环境下复现成功。
3、修复建议:
目前,官方尚未出补丁。临时缓解措施如下:
(1)禁用AXIS 远程管理功能
AXIS < ="1.4" 版本默认关闭了远程管理功能,如非必要请勿开启。若需关闭,则需修改 axis 目录下 web-inf 文件夹中的 server-config.wsdd 文件,将其中"enableremoteadmin"的值设置为 false。
该漏洞源于升级到 HTTP/2 后,H2C 的连接未正确释放 HTTP/1.1 处理器资源,如果发出了足够数量的此类请求,则可能发生 OutOfMemoryException 导致拒绝服务。
Apache Tomcat WebSocket 拒绝服务漏洞(CVE-2020-13935)
该漏洞源于 Apache Tomcat WebSocket 框架中的 payload 长度未正确验证,而无效的payload 长度会触发无限循环,如果发送多个这样的请求可导致拒绝服务。
0x02 处置建议
官方已发布最新版本,下载链接:
http://tomcat.apache.org/security‐10.html http://tomcat.apache.org/security‐9.html http://tomcat.apache.org/security‐8.html
0x03 相关新闻
https://www.rapid7.com/db/vulnerabilities/apache
