漏洞详情:Axis 是一个开源、建基于XML的Web服务架构。它包含了Java和C++语言实现的SOAP服务器,以及各种公用服务及API以生成和部署Web服务应用,检测到ApahceAxis发布安全公告,公开了一个服务端请求伪造(SSRF)漏洞,能够访问admin service的攻击者可以通过可以构造恶意请求进行服务端请求伪造(SSRF)攻击,该漏洞是由于ServiceFactory.class中对用户传入的jndi参数过滤不够严格,导致可以通过恶意请求进行SSRF漏洞利用。修复方案:1.官方后续已经停止维护axis并发布了axis2, axis2对旧有的axis重新设计及重写,并提供两种语言Java及C的开发版本,建议用户逐步升级Apache axis2 。链接:https://axis.apache.org/axis2/java/core/2.官方提供了代码修复方式,但不会正式推出,用户可自行参考官方修复方式对本地代码进行修改。参考链接:https://github.com/apache/axis-axis1-java/commit/685c309febc
………………………………