RecoverPoint for VM: Tomcat 기본 비밀번호와 관련된 보안 취약성

Summary: RecoverPoint for Virtual Machines 5.2.2에서는 기본 tomcat 비밀번호가 보다 안전하고 암호화된 상태로 변경되었지만 비밀번호 자체는 기본값으로 유지됩니다. 보안 검사를 실행하면 다음 CVE가 트리거될 수 있습니다. CVE-2010-0557

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

CVE-2010-0557 - 이 취약성은 RP4VMs 5.3.2에서 사용되는 tomcat 암호에 대한 기본 자격 증명을 사용하는 것입니다.

vRPA /etc/tomcat8/tomcat-users.xml 로그 내에서 다음을 확인할 수 있습니다.
  
 
  

   참고: 암호 필드에서 위의 문자열은 암호화된 형식의 기본 암호입니다.
  

        
Cause

        
RP4VMs 5.3부터는 tomcat Manager의 tomcat-users.xml에 기본 자격 증명이 하드 코딩되어 이 취약성이 발생합니다. 이전 버전의 RP4VM에서는 비밀번호가 기본 비밀번호가 아닙니다.

        
Resolution

        
해결 방법:
  
1. 단일 vRPA의 루트에서 다음 명령을 실행하고 제공된 출력 해시를 복사합니다. 
  
/usr/share/tomcat8/bin/digest.sh -a SHA kashya
 모든 vRPA에서 다음 작업을 수행합니다.
  

  
2. /etc/tomcat8/tomcat-users.xml로 이동하고 VI와 같은 편집기를 사용하여 이 줄의 사용자를 관리자로 교체하고 1
  
단계에서 새 해시로 암호를 교체합니다. 각 RPA의 기본값 예: 
  
 
 
  
변경 후의 모습 예: 
  
 
 
  
3. 다음 파일에서 자격 증명을 교체합니다. /home/kos/kbox/src/installation/installation/scripts/tomcat_set_webapps_for_attached.bash
/home/kos/kbox/src/installation/installation/scripts/tomcat_set_webapps_for_detached.bash
  

  
각 파일에는 상단을 향한 섹션이 있습니다.
  
  다음을 변경합니다.
  
 USER_TOMCAT="tomcat"
  
PASSWORD_TOMCAT="tomcat"
  

  
을 다음으로 변경합니다.
  

  
USER_TOMCAT="admin"
  
PASSWORD_TOMCAT="kashya"
  

  
4로 변경합니다.
  
 다음 루트 명령을 사용하여 vRPA에서 tomcat 서비스를 재시작합니다. 
  
 systemctl restart tomcat8
 또는 vRPA
  

  
해결을 재부팅합니다. 
  
이 문제는 RecoverPoint for VMs 버전 5.3.3(5.3 SP3)에서 해결되었습니다.


            


        

        
        
Affected Products

        RecoverPoint for Virtual Machines







                        

                            

    

        

            

                
                    
 Article Properties

                
            

            

                

                        
Article Number: 000191335

                

                
                

                        
Article Type: Solution

                

                

                        
Last Modified: 25 Sept 2023


                

                    

                            
Version:  5

                    


            


        

    

    

        

            

                
                    
Find answers to your questions from other Dell users

                
            

            

                

                    
                



            


        

    

    

        

            

                
                    
Support Services

                
            

            

                

                    Check if your device is covered by Support Services.