IDPA: Beveiligingslekken voor de standaardinstallatie van Apache Tomcat
Summary: Dit artikel biedt een tijdelijke oplossing voor "Security Vulnerabilities for Apache Tomcat default installation en/or welcome page installed" detected on ACM.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Het volgende beveiligingslek kan worden gedetecteerd op het ACM-gedeelte van IDPA voor poort 8543:
| Titel beveiligingslek | Onderdelen | Servicepoort | Prioriteitsniveau kwetsbaarheden | Beschrijving van het beveiligingslek | Bestand tegen kwetsbaarheden | Oplossing voor kwetsbaarheden |
|---|---|---|---|---|---|---|
| Standaardinstallatie van Apache Tomcat of welkomstpagina geïnstalleerd | ACM | 8543 | 5 | De standaardinstallatie van Tomcat of de welkomstpagina wordt op deze server geïnstalleerd. Dit duidt meestal op een nieuw geïnstalleerde server die nog niet correct is geconfigureerd en waarvan mogelijk nog niet bekend is. Vaak wordt Tomcat samen met andere applicaties geïnstalleerd en weet de gebruiker mogelijk niet dat de webserver actief is. Deze servers worden zelden geüpdatet en zelden gecontroleerd, waardoor hackers een handig doelwit hebben dat waarschijnlijk geen alarmen zal doen afgaan. |
Bezig met HTTPS-service * Product Tomcat bestaat -- Apache Tomcat 9.0.45. HTTP GET Verzoek aan https://<ACM IP>:8543/De HTTP-responscode was naar verwachting 200. <h1>Apache Tomcat/9.0.45</h1> 27: </div> 28: <div id="upper" class="curved container"> 29: <div id="congrats" class="curved container"> 30: ... this, you have successfully installed Tomcat. Congratulations!</h2> |
Wijzig de standaardpagina, of stop en schakel de Tomcat-server volledig uit. Als deze server de benodigde functionaliteit moet bieden, moet de standaardpagina worden vervangen door relevante content. Anders moet deze server uit het netwerk worden verwijderd, volgens het beveiligingsprincipe van minimale complexiteit. |
Volg deze stappen om het probleem te omzeilen:
- Meld u aan als root bij de ACM
- Verander de werkmap in
/usr/local/dataprotection/apache-tomcat-9.0.*/webapps/ROOT.
acm:~ # cd /usr/local/dataprotection/apache-tomcat-9.0.*/webapps/ROOT
In dit voorbeeld is het Apache Tomcat-pad
/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT
Dit kan worden gewijzigd afhankelijk van de IDPA-versie waaraan wordt gewerkt.
- Controleer of het
index.jspBestand bestaat in de map:
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # ls -la total 188 drwxr-x--- 3 idpauser idpauser 4096 Nov 12 00:29 . drwxr-x--- 6 idpauser idpauser 4096 Dec 6 17:00 .. -rw-r----- 1 idpauser idpauser 12243 Feb 4 2022 1 -rw-r----- 1 idpauser idpauser 6898 Mar 30 2021 RELEASE-NOTES.txt drwxr-x--- 2 idpauser idpauser 4096 May 7 2021 WEB-INF -rw-r----- 1 idpauser idpauser 27235 Mar 30 2021 asf-logo-wide.svg -rw-r----- 1 idpauser idpauser 713 Mar 30 2021 bg-button.png -rw-r----- 1 idpauser idpauser 1918 Mar 30 2021 bg-middle.png -rw-r----- 1 idpauser idpauser 1401 Mar 30 2021 bg-nav.png -rw-r----- 1 idpauser idpauser 3103 Mar 30 2021 bg-upper.png -rw-r----- 1 idpauser idpauser 21630 Mar 30 2021 favicon.ico -rw-r----- 1 idpauser idpauser 12243 Feb 4 2022 index.jsp -rw-r----- 1 idpauser idpauser 5542 Mar 30 2021 tomcat.css -rw-r----- 1 idpauser idpauser 67795 Mar 30 2021 tomcat.svg acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT #
- Maak een back-up van de bestaande
index.jspdoor het te kopiëren naarindex.jsp.default:
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # cp -p index.jsp index.jsp.default
OPMERKING: Ter referentie: voordat u de tijdelijke oplossing implementeert, voert u de opdracht uit
curl -kv https://localhost:8543. Deze uitvoer moet worden gebruikt in stap 8 om de uitvoer na de tijdelijke oplossing te vergelijken.
- Maak een nieuw bestand met de naam
index.jspen vervang de inhoud ervan door het volgende:
<html>
<body>
<%
response.sendRedirect("../dataprotection/");
%>
</body>
</html>
Hier volgt een eenvoudige procedure voor het maken en bewerken van de index.jsp bestand:
- Verwijder de bestaande
index.jsp
rm index.jsp
- Een nieuwe maken
index.jspBestand met behulp van de VI-editor.
vi index.jsp
- Druk op
iom naar de invoegmodus te gaan. Hiermee kan de bewerking van het bestand worden uitgevoerd. - Kopieer de tekst hierboven en plak deze in de vi-editor.
- Verlaat de invoegmodus door op te drukken
Esc - Sla de wijzigingen op en sluit vi af door te typen
:wq!en druk op Enter.
- Controleer de inhoud van de
index.jspBestand met behulp van de volgende opdrachten:
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # ls -la
total 192
drwxr-x--- 3 idpauser idpauser 4096 Dec 6 17:05 .
drwxr-x--- 6 idpauser idpauser 4096 Dec 6 17:00 ..
-rw-r----- 1 idpauser idpauser 12243 Feb 4 2022 1
-rw-r----- 1 idpauser idpauser 6898 Mar 30 2021 RELEASE-NOTES.txt
drwxr-x--- 2 idpauser idpauser 4096 May 7 2021 WEB-INF
-rw-r----- 1 idpauser idpauser 27235 Mar 30 2021 asf-logo-wide.svg
-rw-r----- 1 idpauser idpauser 713 Mar 30 2021 bg-button.png
-rw-r----- 1 idpauser idpauser 1918 Mar 30 2021 bg-middle.png
-rw-r----- 1 idpauser idpauser 1401 Mar 30 2021 bg-nav.png
-rw-r----- 1 idpauser idpauser 3103 Mar 30 2021 bg-upper.png
-rw-r----- 1 idpauser idpauser 21630 Mar 30 2021 favicon.ico
-rw-r----- 1 idpauser idpauser 81 Feb 10 05:27 index.jsp
-rw-r----- 1 idpauser idpauser 12243 Feb 4 2022 index.jsp.default
-rw-r----- 1 idpauser idpauser 5542 Mar 30 2021 tomcat.css
-rw-r----- 1 idpauser idpauser 67795 Mar 30 2021 tomcat.svg
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # cat index.jsp
<html>
<body>
<%
response.sendRedirect("../dataprotection/");
%>
</body>
</html>
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT #
- Open een webbrowser, open de ACM-webpagina en controleer of deze goed werkt. Bij het openen van de ACM-webpagina:
https://<ACM IP Adddress>:8543/
Het zou automatisch moeten omleiden:
https://<ACM IP Adddress>:8543/dataprotection/#/login
- Valideer de wijzigingen in de ACM-opdrachtregel:
Voordat u de tijdelijke oplossing implementeert, moet u
curl -kv https://localhost:8543 zou vergelijkbaar zijn met:
OPMERKING: De
curl -kv https://<ACM IP address>:8543 Retourneert hetzelfde resultaat:
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # curl -kv https://localhost:8543 * Rebuilt URL to: https://localhost:8543/ * Trying 12x.0.0.1... * TCP_NODELAY set * Connected to localhost (12x.0.0.1) port 8543 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * TLSv1.2 (OUT), TLS header, Certificate Status (22): * TLSv1.2 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Client hello (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS change cipher, Client hello (1): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-AES256-SHA384 * ALPN, server did not agree to a protocol * Server certificate: * subject: C=US; ST=California; L=Irvine; O=EMC; OU=Avamar; CN=localhost.localdom * start date: Feb 4 12:27:16 2022 GMT * expire date: Feb 2 12:27:16 2032 GMT * issuer: C=US; ST=California; L=Irvine; O=EMC; OU=Avamar; CN=localhost.localdom * SSL certificate verify result: self signed certificate (18), continuing anyway. > GET / HTTP/1.1 > Host: localhost:8543 > User-Agent: curl/7.60.0 > Accept: */* > < HTTP/1.1 200 < Content-Type: text/html;charset=UTF-8 < Transfer-Encoding: chunked < Date: Fri, 10 Feb 2023 05:39:29 GMT < Connection: close < Server: DataDomain < <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8" /> <title>Apache Tomcat/9.0.45</title> <link href="favicon.ico" rel="icon" type="image/x-icon" /> <link href="tomcat.css" rel="stylesheet" type="text/css" /> <script>window.location = window.location.origin + "/dataprotection/"; </script></head> <body> <div id="wrapper"> <div id="navigation" class="curved container"> <span id="nav-home"><a href="https://tomcat.apache.org/">Home</a></span> <span id="nav-hosts"><a href="/docs/">Documentation</a></span> <span id="nav-config"><a href="/docs/config/">Configuration</a></span> <span id="nav-examples"><a href="/examples/">Examples</a></span> <span id="nav-wiki"><a href="https://wiki.apache.org/tomcat/FrontPage">Wiki</a></span> <span id="nav-lists"><a href="https://tomcat.apache.org/lists.html">Mailing Lists</a></span> <span id="nav-help"><a href="https://tomcat.apache.org/findhelp.html">Find Help</a></span> <br class="separator" /> </div> <div id="asf-box"> <h1>Apache Tomcat/9.0.45</h1> </div> <div id="upper" class="curved container"> <div id="congrats" class="curved container"> <h2>If you're seeing this, you've successfully installed Tomcat. Congratulations!</h2> </div> ... skipped </body> </html>
Wanneer de tijdelijke oplossing is geïmplementeerd, moet de uitvoer het volgende worden:
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # curl -kv https://localhost:8543 * Rebuilt URL to: https://localhost:8543/ * Trying 12x.0.0.1... * TCP_NODELAY set * Connected to localhost (12x.0.0.1) port 8543 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * TLSv1.2 (OUT), TLS header, Certificate Status (22): * TLSv1.2 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Client hello (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS change cipher, Client hello (1): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-AES256-SHA384 * ALPN, server did not agree to a protocol * Server certificate: * subject: C=US; ST=California; L=Irvine; O=EMC; OU=Avamar; CN=localhost.localdom * start date: Feb 4 12:27:16 2022 GMT * expire date: Feb 2 12:27:16 2032 GMT * issuer: C=US; ST=California; L=Irvine; O=EMC; OU=Avamar; CN=localhost.localdom * SSL certificate verify result: self signed certificate (18), continuing anyway. > GET / HTTP/1.1 > Host: localhost:8543 > User-Agent: curl/7.60.0 > Accept: */* > < HTTP/1.1 302 < Set-Cookie: JSESSIONID=3396A12A1A458BBB4DDCB636A72B66EE; Path=/; Secure; HttpOnly < Location: ../dataprotection/ < Content-Type: text/html;charset=ISO-8859-1 < Content-Length: 0 < Date: Fri, 10 Feb 2023 05:42:58 GMT < Connection: close < Server: DataDomain < * Closing connection 0 * TLSv1.2 (OUT), TLS alert, Client hello (1):
Additional Information
Als de ACM-webpagina de status HTTP 500 - Internal Server Error weergeeft na het volgen van de bovenstaande procedure, bijvoorbeeld:
Meld u aan bij de ACM met SSH als rootgebruiker en start de ACM-service opnieuw met de volgende opdrachten:
service dataprotection_webapp stop service dataprotection_webapp start
Laad vervolgens de ACM-webpagina opnieuw.
Neem indien nodig contact op met Dell Support voor verdere hulp.
Affected Products
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000206114
Article Type: How To
Last Modified: 25 Aug 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.