12 de noviembre de 2009

Instalación poco segura de Tomcat bajo Windows

El instalador de Windows de Tomcat deja la contraseña en blanco para el usuario administrativo de la aplicación.

  • Las versiones vulnerables son Tomcat de 5.5.0 a 5.5.28 y de 6.0.0 a 6.0.20, aunque las que ya no son soportadas también podrían verse afectadas.
  • El fallo reside en el Windows Intaller que deja la contraseña en blanco y no es cambiada después del proceso de instalación.
  • Los usuarios que hayan instalado Tomcat directamente desde un archivo zip o tar.gz no se ven afectados.
  • Se recomienda eliminar el usuario del archivo de configuración tomcat-users.xml tras la instalación ó establecer en el una contraseña sólida.

Fuente: Hispasec