Las versiones afectadas son Tomcat de 5.5.0 a 5.5.28 y de 6.0.0 a 6.0.20, aunque las que ya no son soportadas también podrían verse afectadas. El fallo es que el Windows Intaller deja la contraseña en blanco y no es cambiada después del proceso de instalación. El usuario admin tiene roles de admin y manager, con lo que posee completos poderes sobre Tomcat.
Los usuarios que hayan instalado Tomcat directamente desde un archivo zip o tar.gz no se ven afectados. Es posible eliminar el usuario del archivo de configuración tomcat-users.xml tras la instalación para no verse afectado por el problema, o establecerle en el mismo fichero una contraseña robusta.
Se corregirá este error en las próximas publicaciones 6.0.x y 5.5.x.
Laboratorio Hispasec
laboratorio@hispasec.com
laboratorio@hispasec.com
Más información:
Windows distribution vunerability
http://markmail.org/thread/wfu4nff5chvkb6xp
Apache Tomcat Security Updates
http://tomcat.apache.org/security.html
0 comentarios:
Publicar un comentario en la entrada