Instalación insegura de Apache Tomcat en Windows
- 14 de November 2009
- |
- Emiliano Keiner
- |
- Sin comentarios »
El instalador, para el sistema operativo Windows, del reconocido servidor web Apache Tomcat, deja la contraseña en blanco para el usuario administrador de la aplicación, por lo cual se convierte en un peligro de seguridad para quienes lo han empleado.
Las versiones afectadas confirmadas son las 5.5.0 a 5.5.28 y de 6.0.0 a 6.0.20, que hallan sido instaladas desde el instalador para el sistema Microsoft Windows. Por otro lado, las instalaciones desde un archivo zip o tar.gz no se ven afectados.
Este problema de seguridad será corregido en las próximas versiones 6.0.x y 5.5.x, pero por el momento se podrÃa solucionar eliminando el usuario del archivo de configuración tomcat-users.xml tras la instalación, o estableciendo en el mismo fichero una contraseña robusta.
Fuente: Hispasec
Tags: Apache Tomcat, windows