开源项目修复了研究人员指出技术意见后的错误
在利用先前由开源项目之前拥有的过期域之后,研究人员能够在Apache轴服务器上获得远程执行代码(RCE)。
来自Rhino Security Labs的团队通过利用明显的监督,证明了如何能够通过利用明显的监督来获得软件公司的服务器。
Apache Axis是Web服务的核心引擎,目前在版本Axibeplay体育能用吗s2 1.7.9上。
该漏洞存在于1.4较旧版本中,仍然可用,并由某些编码器使用。
演示服务Stockquoteservice.jws.从域www.xmltoday.com加载数据。发现此域实际已过期并不再由Apache Axix拥有后,Rhino Security Labs研究人员很快就购买了它。
然后,团队将域重定向到LocalHost URL。
作为犀牛安全实验室的博客文章详细信息:“轴处理来自localhost的请求,具有管理权限,这允许您通过制作HTTP GET请求来启动恶意服务,该请求似乎通过LocalHost来源SSRF漏洞。“
在将重定向到特制的LocalHost URL设置并将其与之相结合之后ssrf to rce ick,研究人员可以在轴服务器上获得RCE。它被记录为CVE-2019-0227。
“在这种情况下,这主要是戴夫[是那些发现错误]阅读源代码并查找演示应用程序的问题,”犀牛安全实验室的创始人兼首席执行官Benjamin Caudill告诉每日SWbeplay2018官网IG.。
“原始研究和找到0days从来都不容易 - 在它的核心,我们正试图找到没有其他人发现的东西(包括供应商自己)。
“这需要很多勤奋和创造力,并且我们将每个CVE视为团队的里程碑。”
他补充说:“看到域名被允许过期令人惊讶的是,一旦发现其余部分落入了地方。”
每日SWbeplay2018官网IG.也达到了Apache Axis团队,他说他们仍然致力于修补过时的版本。
Apache Axis的副总裁Robert Lazarski表示:“在轴私人电子邮件列表上编码讨论后,我们决定修复并将OP与Security@apache.org cc'd通知。修复本身是一个行Java代码更改,并从轴1.x项目分发的War文件中删除文件。
“虽然Axis 1.x最后发布于2006年,但我们不考虑EOL [生命结束]。错误和安全性继续在SVN [subversion]中继续。鼓励传统用户从来源建立。“骗子补充说:“Apache Axis团队很快回复,并且很高兴与之合作,特别是考虑到Axis 1.4是旧版本而未积极维护。
“他们仍然继续前进并在这个问题的补丁上工作,并且在获得这个固定时非常响应。”