sábado, 15 de diciembre de 2001

IBM Websphere puede revelar la password de root del sistema

En las instalaciones por defecto de IBM WebSphere un usuario normal, con
acceso al sistema, podrá conseguir la password de administración del
sistema (root) mediante la creación de una página jsp.
Cuando IBM WebSpherese instala por defecto este se configura para
ejecutarse con identidad de root, de forma que almacena la password de
root en texto plano en el archivo $WASROOT/properties/sas.server.props.
Este archivo tiene permisos 600, por lo que otros usuarios del sistema
no tienen acceso a él.

El problema reside en que por defecto todo el código en WebSphere
(jsp's, Servlets etc.) se ejecuta con la identidad de root, lo que
posibilita el acceso a todos los archivos del servidor con lectura por
root.

Esto posibilita a cualquier usuario, con acceso al sistema, la
construcción de una página jsp que lea el contenido de sas.server.props,
situarla en el directorio apropiado y acceder a esta página jsp a través
del navegador. Con esta sencilla operación el usuario podrá conseguir la
password de root del sistema.

De igual forma, el atacante podrá construir cualquier página jsp con
shell-scripts que se ejecutarán con permisos de root.

Para evitar este problema se recomienda cambiar los permisos de
WebSphere para que se ejecute bajo otra identidad diferente (sin
permisos de root).
IBM recomienda seguir los siguientes pasos para realizar esta
configuración:
Para Sun solaris :
http://www-1.ibm.com/servlet/support/manager?rs=180&rt=0&org=SW&doc=1005677
Para plataformas Unix genéricas
http://www-1.ibm.com/servlet/support/manager?rs=180&rt=0&org=SW&doc=1005677
http://www7b.boulder.ibm.com/wsdd/library/presents/nonrootlogin.html

En caso de no poder llevar a cabo la configuración anterior se
recomienda crear servidores de aplicaicones bajo una identidad diferente
a root.
http://www-4.ibm.com/software/webservers/appserv/doc/v40/ae/infocenter/was/0606a01.html



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/archive/1/245324