El instalador de Windows de Tomcat deja la contraseña en blanco para el usuario administrativo de la aplicación, lo que puede resultar en un grave problema de seguridad para los que hayan instalado Tomcat bajo Windows con el instalador.
Las versiones afectadas son Tomcat de 5.5.0 a 5.5.28 y de 6.0.0 a 6.0.20, aunque las que ya no son soportadas también podrían verse afectadas. El fallo es que el Windows Intaller deja la contraseña en blanco y no es cambiada después del proceso de instalación. El usuario admin tiene roles de admin y manager, con lo que posee completos poderes sobre Tomcat.
Los usuarios que hayan instalado Tomcat directamente desde un archivo zip o tar.gz no se ven afectados. Es posible eliminar el usuario del archivo de configuración tomcat-users.xml tras la instalación para no verse afectado por el problema, o establecerle en el mismo fichero una contraseña robusta.
Se corregirá este error en las próximas publicaciones 6.0.x y 5.5.x.
Opina sobre esta noticia:
Hispasec - Seguridad Informática
Más Información:
Windows distribution vunerability
Windows distribution vunerability - David Norheim - org.apache.tomcat.users - MarkMail
Apache Tomcat Security Updates
Apache Tomcat - Reporting Security Problems
Las versiones afectadas son Tomcat de 5.5.0 a 5.5.28 y de 6.0.0 a 6.0.20, aunque las que ya no son soportadas también podrían verse afectadas. El fallo es que el Windows Intaller deja la contraseña en blanco y no es cambiada después del proceso de instalación. El usuario admin tiene roles de admin y manager, con lo que posee completos poderes sobre Tomcat.
Los usuarios que hayan instalado Tomcat directamente desde un archivo zip o tar.gz no se ven afectados. Es posible eliminar el usuario del archivo de configuración tomcat-users.xml tras la instalación para no verse afectado por el problema, o establecerle en el mismo fichero una contraseña robusta.
Se corregirá este error en las próximas publicaciones 6.0.x y 5.5.x.
Opina sobre esta noticia:
Hispasec - Seguridad Informática
Más Información:
Windows distribution vunerability
Windows distribution vunerability - David Norheim - org.apache.tomcat.users - MarkMail
Apache Tomcat Security Updates
Apache Tomcat - Reporting Security Problems