RecoverPoint for VMs：與 Tomcat 預設密碼相關的安全性漏洞

CVE-2010-0557 - 此漏洞是以使用 Tomcat 密碼的預設認證為後盾，此認證用於 RP4VM 5.3.2。

在 vRPA /etc/tomcat8/tomcat-users.xml 記錄中可以看到以下內容：
 

從 RP4VM 5.3 開始，tomcat Manager 的 tomcat-users.xml 中會硬編碼預設認證，進而造成此漏洞。在 RP4VM 先前的版本中，密碼不是預設密碼。

因應措施：
1.從單一 vRPA 上的根執行下列命令，並複製提供的輸出雜湊：

/usr/share/tomcat8/bin/digest.sh -a SHA kashya

在所有 vRPA 上執行下列動作：

2.流覽至 /etc/tomcat8/tomcat-users.xml，並使用編輯器 （例如 VI） 將此行上的使用者更換為管理員，並將密碼替換為步驟 1 的新雜湊：
每個 RPA 預設值範例：

變更後會出現的情況範例：

3.在下列檔案中更換認證：
/home/kos/kbox/src/installation/Installation/scripts/tomcat_set_webapps_for_attached.bash
/home/kos/kbox/src/installation/Installation/scripts/tomcat_set_webapps_for_detached.bash

每個檔案都有一個區段朝頂端。  進行下列變更：
USER_TOMCAT=「tomcat」
PASSWORD_TOMCAT=「tomcat」

變更為以下內容：

USER_TOMCAT=「admin」
PASSWORD_TOMCAT=「kashya」

4.
使用下列根命令，在 vRPA 上重新啟動 tomcat 服務：

 systemctl restart tomcat8

或重新開機 vRPA

解決方案：
此問題已在 RecoverPoint for VMs 5.3.3 版 （5.3 SP3） 中獲得解決。