CVE-2010-0557 – det här säkerhetsproblemet kretsar kring användning av standarduppgifter för tomcat-lösenordet, som används i RP4VMs 5.3.2.
I loggen vRPA /etc/tomcat8/tomcat-users.xml kan följande ses:
Obs! Strängen ovan i lösenordsfältet är standardlösenordet i krypterad form.
Från och med RP4VMs 5.3 är standarduppgifterna hårdkodade i tomcat-users.xml för tomcat-hanteraren, vilket resulterar i det här säkerhetsproblemet. I tidigare versioner av RP4VMs var lösenordet inte ett standardlösenord.
Workaround:
1. Kör följande kommando från roten på en
enda vRPA och kopiera tillhandahållen hash för utdata:
/usr/share/tomcat8/bin/digest.sh -a SHA kashya
På alla vRPA:er utför du följande åtgärder:
2. Gå till /etc/tomcat8/tomcat-users.xml och använd en redigerare som VI för att ersätta användaren på den här raden med admin och lösenordet med den nya hashvärdet från steg 1:
Exempel på vad som är standard på varje RPA:
Exempel på hur saker kommer att se ut efter att ändringarna har gjorts:
3. Ersätt autentiseringsuppgifterna i följande filer:
/home/kos/kbox/src/installation/Installation/scripts/tomcat_set_webapps_for_attached.bash
/home/kos/kbox/src/installation/Installation/scripts/tomcat_set_webapps_for_detached.bash
Varje fil har ett avsnitt längst upp. Gör följande ändringar:
USER_TOMCAT="tomcat"
PASSWORD_TOMCAT="tomcat"
Ändra dem till följande:
USER_TOMCAT="admin"
PASSWORD_TOMCAT="kashya"
4.
Starta om tomcat-tjänsten på vRPA:en med följande rotkommando:
systemctl restart tomcat8
ELLER starta om vRPA-lösningen
:
Det här problemet har åtgärdats i RecoverPoint for VMs version 5.3.3 (5.3 SP3).