CVE-2010-0557: Diese Sicherheitslücke dreht sich um die Verwendung von Standardanmeldedaten für das Tomcat-Passwort, das in RP4VMs 5.3.2 verwendet wird.
Im vRPA-Protokoll /etc/tomcat8/tomcat-users.xml kann Folgendes beobachtet werden:
HINWEIS: Die obige Zeichenfolge im Feld Passwort ist das Standardkennwort in verschlüsselter Form.
Ab RP4VMs 5.3 werden Standardanmeldedaten in tomcat-users.xml für den Tomcat-Manager hartcodiert, was zu dieser Schwachstelle führt. In früheren Versionen von RP4VMs gab es kein Standardkennwort.
Workaround:
1. Führen Sie vom Stammverzeichnis auf einer
einzelnen vRPA den folgenden Befehl aus und kopieren Sie den bereitgestellten Ausgabe-Hash:
/usr/share/tomcat8/bin/digest.sh -a SHA kashya
Führen Sie auf allen vRPAs die folgenden Aktionen aus:
2. Navigieren Sie zu /etc/tomcat8/tomcat-users.xml und verwenden Sie einen Editor wie VI, um den Benutzer in dieser Zeile durch admin und das Passwort durch den neuen Hash aus Schritt 1:
Beispiel dafür zu ersetzen, was standardmäßig auf jeder RPA vorhanden ist:
Beispiel dafür, wie die Dinge aussehen werden, nachdem die Änderungen vorgenommen wurden:
3. Ersetzen Sie die Anmeldedaten in den folgenden Dateien:
/home/kos/kbox/src/installation/Installation/scripts/tomcat_set_webapps_for_attached.bash
/home/kos/kbox/src/installation/installation/scripts/tomcat_set_webapps_for_detached.bash
Jede Datei hat einen Abschnitt oben. Nehmen Sie die folgenden Änderungen vor:
USER_TOMCAT="tomcat"
PASSWORD_TOMCAT="tomcat"
Ändern Sie sie zu folgendem:
USER_TOMCAT="admin"
PASSWORD_TOMCAT="kashya"
4.
Starten Sie den Tomcat-Dienst auf der vRPA mit dem folgenden Root-Befehl neu:
systemctl restart tomcat8
ODER starten Sie die vRPA-Lösung
neu
:
Dieses Problem wurde in RecoverPoint for VMs Version 5.3.3 (5.3 SP3) behoben.