Instalación insegura de Tomcat bajo Windows
Digamos de entrada que el Apache Tomcat es un servidor web (http) que funciona como un contenedor de servlets. Es la implementación de referencia de las especificaciones de servlets 2.5 y de Java Serves Pages (JSP) 2.1, especificaciones para Java Community Process, usado como servidor web autónomo en entornos con alto nivel de tráfico y alta disponibilidad
Pues al respecto, con la instalación actual, se tiene un agujero de seguridad en la contraseña administrativa:
El instalador de Windows de Tomcat deja la contraseña en blanco para el usuario administrativo de la aplicación, lo que puede resultar en un grave problema de seguridad para los que hayan instalado Tomcat bajo Windows con el instalador.
Las versiones afectadas son Tomcat de 5.5.0 a 5.5.28 y de 6.0.0 a 6.0.20, aunque las que ya no son soportadas también podrían verse afectadas. El fallo es que el Windows Intaller deja la contraseña en blanco y no es cambiada después del proceso de instalación. El usuario admin tiene roles de admin y manager, con lo que posee completos poderes sobre Tomcat.
Los usuarios que hayan instalado Tomcat directamente desde un archivo zip o tar.gz no se ven afectados. Es posible eliminar el usuario del archivo de configuración tomcat-users.xml tras la instalación para no verse afectado por el problema, o establecerle en el mismo fichero una contraseña robusta.
Se corregirá este error en las próximas publicaciones posteriores a las 6.0.x y 5.5.x indicadas.
Pues conviene tenerlo en cuenta y, los que lo usan, configurar dicha contraseña segura, antes de que puedan ser intrusionados remotamente…
saludos
ms, 11-11-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.