CVE-2010-0557 – Dette sikkerhetsproblemet gjelder bruk av standardlegitimasjon for tomcat-passordet, som brukes i RP4VMs 5.3.2.
Fra vRPA-loggen /etc/tomcat8/tomcat-users.xml kan du se følgende:
MERK: Strengen ovenfor i passordfeltet er standardpassordet i kryptert form.
Fra og med RP4VMs 5.3 er standardlegitimasjon hardkodet i tomcat-users.xml for tomcat Manager, noe som resulterer i dette sikkerhetsproblemet. I tidligere versjoner av RP4VMs var ikke passordet et standardpassord.
Løsningen:
1. Fra rot på
én vRPA kjører du følgende kommando og kopierer utdata-hash-nummeret som er oppgitt:
/usr/share/tomcat8/bin/digest.sh -a SHA kashya
På alle vRPA-er utfører du følgende handlinger:
2. Naviger til /etc/tomcat8/tomcat-users.xml, og bruk et redigeringsprogram som VI for å erstatte brukeren på denne linjen med administrator og passordet med den nye hash-koden fra trinn 1:
Eksempel på hva som er som standard på hver RPA:
Eksempel på hvordan ting vil se ut etter at endringene er gjort:
3. Bytt ut legitimasjonen i følgende filer:
/home/kos/kbox/src/installation/Installation/scripts/tomcat_set_webapps_for_attached.bash
/home/kos/kbox/src/installation/Installation/scripts/tomcat_set_webapps_for_detached.bash
Hver fil har en del øverst. Gjør følgende endringer:
USER_TOMCAT="tomcat"
PASSWORD_TOMCAT="tomcat"
Endre dem til følgende:
USER_TOMCAT ="admin"
PASSWORD_TOMCAT="pstya"
4.
Start tomcat-tjenesten på nytt på vRPA med følgende rotkommando:
systemctl restart tomcat8
ELLER start vRPA-løsningen
på nytt:
Dette problemet er løst i RecoverPoint for VM-er versjon 5.3.3 (5.3 SP3).