RecoverPoint for VMs: Sicherheitslücke im Zusammenhang mit Tomcat-Standardkennwörtern

CVE-2010-0557: Diese Sicherheitslücke dreht sich um die Verwendung von Standardanmeldedaten für das Tomcat-Passwort, das in RP4VMs 5.3.2 verwendet wird.

Im vRPA-Protokoll /etc/tomcat8/tomcat-users.xml kann Folgendes beobachtet werden:
 

Ab RP4VMs 5.3 werden Standardanmeldedaten in tomcat-users.xml für den Tomcat-Manager hartcodiert, was zu dieser Schwachstelle führt. In früheren Versionen von RP4VMs gab es kein Standardkennwort.

Workaround:
1. Führen Sie vom Stammverzeichnis auf einer einzelnen vRPA den folgenden Befehl aus und kopieren Sie den bereitgestellten Ausgabe-Hash:

/usr/share/tomcat8/bin/digest.sh -a SHA kashya

Führen Sie auf allen vRPAs die folgenden Aktionen aus:

2. Navigieren Sie zu /etc/tomcat8/tomcat-users.xml und verwenden Sie einen Editor wie VI, um den Benutzer in dieser Zeile durch admin und das Passwort durch den neuen Hash aus Schritt 1:
Beispiel dafür zu ersetzen, was standardmäßig auf jeder RPA vorhanden ist:

Beispiel dafür, wie die Dinge aussehen werden, nachdem die Änderungen vorgenommen wurden:

3. Ersetzen Sie die Anmeldedaten in den folgenden Dateien:
/home/kos/kbox/src/installation/Installation/scripts/tomcat_set_webapps_for_attached.bash
/home/kos/kbox/src/installation/installation/scripts/tomcat_set_webapps_for_detached.bash

Jede Datei hat einen Abschnitt oben.  Nehmen Sie die folgenden Änderungen vor:
USER_TOMCAT="tomcat"
PASSWORD_TOMCAT="tomcat"

Ändern Sie sie zu folgendem:

USER_TOMCAT="admin"
PASSWORD_TOMCAT="kashya"

4.
Starten Sie den Tomcat-Dienst auf der vRPA mit dem folgenden Root-Befehl neu:

 systemctl restart tomcat8

ODER starten Sie die vRPA-Lösung

neu:
Dieses Problem wurde in RecoverPoint for VMs Version 5.3.3 (5.3 SP3) behoben.