Cambio clave por defecto Apache Tomcat

Cambio clave por defecto Apache Tomcat | Moisés Araya [1] Hardening básico Apache Tomcat El motivo de esta sencilla guía es mitigar la vulnerabilidad CVE-2009-3548 que afecta a las versiones de Apache Tomcat 6.0.0 hasta la 6.0.20 y las versiones 5.5.0 hasta la 5.5.28. Procedimiento. Detener servicio tomcat (services.msc), respaldar el archivo de usuarios, modificar el archivo de usuarios [tomcat-users.xml] (cambiar contraseña por defecto), iniciar el servicio y validar la autenticación vía URL. Archivo original < ?xml version='1.0' encoding='utf-8'?> <tomcat -users> <role rolename="tomcat"/> <role rolename="role1"/> <role rolename="admin"/> <role rolename="manager" /> <user username="tomcat" password="tomcat" roles="tomcat"/> <user rusername="admin" password="admin" roles="tomcat,manager,admin" /> <user username="both" password="tomcat" roles="tomcat,role1"/> <user username="role1" password="tomcat" roles="role1"/> </tomcat> Archivo modificado <?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="manager"/> <role rolename="admin"/> <user username="admin" password="contraseña" roles="manager,admin"/> </tomcat-users> Resultados: http://localhost/manager/html

Upload
moises-araya
Category

Technology
view
646
download
1

Embed Size (px):

Transcript of Cambio clave por defecto Apache Tomcat

Page 1: Cambio clave por defecto Apache Tomcat

Cambio clave por defecto Apache Tomcat | Moisés Araya

[1]

Hardening básico Apache Tomcat

El motivo de esta sencilla guía es mitigar la vulnerabilidad CVE-2009-3548 que afecta a las versiones de Apache Tomcat 6.0.0 hasta la 6.0.20 y las versiones 5.5.0 hasta la 5.5.28.

Procedimiento.

Detener servicio tomcat (services.msc), respaldar el archivo de usuarios, modificar el archivo de usuarios [tomcat-users.xml] (cambiar contraseña por defecto), iniciar el servicio y validar la autenticación vía URL. Archivo original

< ?xml version='1.0' encoding='utf-8'?> <tomcat -users> <role rolename="tomcat"/> <role rolename="role1"/> <role rolename="admin"/> <role rolename="manager" /> <user username="tomcat" password="tomcat" roles="tomcat"/> <user rusername="admin" password="admin" roles="tomcat,manager,admin" /> <user username="both" password="tomcat" roles="tomcat,role1"/> <user username="role1" password="tomcat" roles="role1"/> </tomcat>

Archivo modificado

<?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="manager"/> <role rolename="admin"/> <user username="admin" password="contraseña" roles="manager,admin"/> </tomcat-users>

Resultados: http://localhost/manager/html

http://localhost/manager/html

Page 2: Cambio clave por defecto Apache Tomcat

Cambio clave por defecto Apache Tomcat | Moisés Araya

[2]

http://localhost/host-manager/html

http://localhost/manager/status

Detalle de la vulnerabilidad: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3548 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3548

http://localhost/host-manager/html

http://localhost/manager/status

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3548

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3548