cambio clave por defecto apache tomcat
Post on 13-Apr-2017
646 Views
Preview:
TRANSCRIPT
Cambio clave por defecto Apache Tomcat | Moisés Araya
[1]
Hardening básico Apache Tomcat
El motivo de esta sencilla guía es mitigar la vulnerabilidad CVE-2009-3548 que afecta a las versiones de Apache Tomcat 6.0.0 hasta la 6.0.20 y las versiones 5.5.0 hasta la 5.5.28.
Procedimiento.
Detener servicio tomcat (services.msc), respaldar el archivo de usuarios, modificar el archivo de usuarios [tomcat-users.xml] (cambiar contraseña por defecto), iniciar el servicio y validar la autenticación vía URL. Archivo original
< ?xml version='1.0' encoding='utf-8'?> <tomcat -users> <role rolename="tomcat"/> <role rolename="role1"/> <role rolename="admin"/> <role rolename="manager" /> <user username="tomcat" password="tomcat" roles="tomcat"/> <user rusername="admin" password="admin" roles="tomcat,manager,admin" /> <user username="both" password="tomcat" roles="tomcat,role1"/> <user username="role1" password="tomcat" roles="role1"/> </tomcat>
Archivo modificado
<?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="manager"/> <role rolename="admin"/> <user username="admin" password="contraseña" roles="manager,admin"/> </tomcat-users>
Resultados: http://localhost/manager/html
Cambio clave por defecto Apache Tomcat | Moisés Araya
[2]
http://localhost/host-manager/html
http://localhost/manager/status
Detalle de la vulnerabilidad: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3548 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3548
top related