RecoverPoint for VMs:tomcatのデフォルト パスワードに関連するセキュリティの脆弱性

Summary: RecoverPoint for Virtual Machines 5.3.2では、デフォルトのtomcatパスワードがより安全かつ暗号化されるように変更されましたが、パスワード自体はデフォルト値のままです。 セキュリティ チェックを実行すると、次のCVEがトリガーされる場合があります。 CVE-2010-0557

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

CVE-2010-0557 - この脆弱性は、RP4VM 5.3.2で使用されているtomcatパスワードのデフォルト認証情報の使用を中心に展開されます。

vRPA /etc/tomcat8/tomcat-users.xmlログ内から、次の情報を確認できます。
  
 
  

   メモ: パスワード フィールドの上の文字列は、暗号化された形式のデフォルトのパスワードです。
  

        
Cause

        
RP4VMs 5.3以降では、tomcatマネージャーのtomcat-users.xmlにデフォルトの認証情報がハード コーディングされているため、この脆弱性が発生します。以前のバージョンのRP4VMでは、パスワードはデフォルトのパスワードではありません。

        
Resolution

        
回避策:
  
1.単一のvRPAのrootから次のコマンドを実行し、提供された出力ハッシュをコピーします。 
  
/usr/share/tomcat8/bin/digest.sh -a SHA kashya
 すべてのvRPAで、次のアクションを実行します
  

  
。 2./etc/tomcat8/tomcat-users.xml に移動し、VIなどのエディターを使用して、この行のユーザーをadmin、パスワードをステップ1:
  
各RPAのデフォルトの例の新しいハッシュに置き換えます。 
  
 
 
  
変更後の状況の例: 
  
 
 
  
3.次のファイルの認証情報を置き換えます。
  
/home/kos/kbox/src/installation/installation/scripts/tomcat_set_webapps_for_attached.bash
/home/kos/kbox/src/installation/Installation/scripts/tomcat_set_webapps_for_detached.bash
  

  
各ファイルの上部にセクションがあります。  次の変更を行います。
  
USER_TOMCAT="tomcat"
  
PASSWORD_TOMCAT="tomcat"
  

  
次のように変更します。
  

  
USER_TOMCAT="admin"
  
PASSWORD_TOMCAT="tomcathya"
  

  
4.
  
次のrootコマンドを使用して、vRPAでtomcatサービスを再起動します。 
  
 systemctl restart tomcat8
 または、vRPA
  

  
を再起動します
  
 この問題は、RecoverPoint for VMsバージョン5.3.3(5.3 SP3)で対処されています。


            


        

        
        
Affected Products

        RecoverPoint for Virtual Machines







                        

                            

    

        

            

                
                    
 Article Properties

                
            

            

                

                        
Article Number: 000191335

                

                
                

                        
Article Type: Solution

                

                

                        
Last Modified: 25 Sept 2023


                

                    

                            
Version:  5

                    


            


        

    

    

        

            

                
                    
Find answers to your questions from other Dell users

                
            

            

                

                    
                



            


        

    

    

        

            

                
                    
Support Services

                
            

            

                

                    Check if your device is covered by Support Services.