ІДПА: Уразливості безпеки при установці Apache Tomcat за замовчуванням

Summary: У статті наведено обхідний шлях для «Вразливостей безпеки для встановлення за замовчуванням Apache Tomcat та/або встановленої сторінки привітання», виявлених на ACM.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

У частині ACM IDPA для порту 8543 може бути виявлена наступна вразливість:

Назва вразливості Компоненти  Сервісний порт Рівень серйозності вразливостей Опис вразливості Доказ вразливості Рішення для усунення вразливостей
Встановлення Apache Tomcat за замовчуванням або встановлена сторінка привітання АКМ 8543 5 На цьому сервері встановлена сторінка встановлення Tomcat за замовчуванням або сторінка "Ласкаво просимо". Зазвичай це вказує на нещодавно встановлений сервер, який ще не був налаштований належним чином і про який може бути невідомо.

Часто Tomcat встановлюється разом з іншими програмами і користувач може не знати, що веб-сервер працює. Ці сервери рідко оновлюються та рідко контролюються, надаючи хакерам зручну ціль, яка навряд чи спрацює будь-який сигнал тривоги.		 Під управлінням служби

HTTPS * Існує продукт Tomcat -- Apache Tomcat 9.0.45.

HTTP GET Запит на https://<ACM IP>:8543/
Код відповіді HTTP був очікуваним 200.
<h1>Apache Tomcat/9.0.45</h1> 27: </div> 28: <div id="upper" class="curved container"> 29: <div id="congrats" class="curved container"> 30: ... this, you have successfully installed Tomcat. Congratulations!</h2>		 Змініть сторінку за замовчуванням або зупиніть і повністю вимкніть сервер Tomcat.

Якщо цей сервер потрібен для забезпечення необхідного функціоналу, то сторінка за замовчуванням повинна бути замінена релевантним контентом. В іншому випадку цей сервер повинен бути видалений з мережі, дотримуючись принципу безпеки мінімальної складності.

Дотримуйтесь цих кроків, щоб вирішити проблему:

  1. Увійдіть як root до ACM
  2. Змініть робочу директорію на /usr/local/dataprotection/apache-tomcat-9.0.*/webapps/ROOT.
acm:~ # cd /usr/local/dataprotection/apache-tomcat-9.0.*/webapps/ROOT

У цьому прикладі шлях Apache Tomcat має вигляд 

/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT

Це може бути змінено в залежності від версії IDPA, над якою ведеться робота.

  1. Підтвердьте , що index.jsp файл існує в каталозі:
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # ls -la
total 188
drwxr-x--- 3 idpauser idpauser  4096 Nov 12 00:29 .
drwxr-x--- 6 idpauser idpauser  4096 Dec  6 17:00 ..
-rw-r----- 1 idpauser idpauser 12243 Feb  4  2022 1
-rw-r----- 1 idpauser idpauser  6898 Mar 30  2021 RELEASE-NOTES.txt
drwxr-x--- 2 idpauser idpauser  4096 May  7  2021 WEB-INF
-rw-r----- 1 idpauser idpauser 27235 Mar 30  2021 asf-logo-wide.svg
-rw-r----- 1 idpauser idpauser   713 Mar 30  2021 bg-button.png
-rw-r----- 1 idpauser idpauser  1918 Mar 30  2021 bg-middle.png
-rw-r----- 1 idpauser idpauser  1401 Mar 30  2021 bg-nav.png
-rw-r----- 1 idpauser idpauser  3103 Mar 30  2021 bg-upper.png
-rw-r----- 1 idpauser idpauser 21630 Mar 30  2021 favicon.ico
-rw-r----- 1 idpauser idpauser 12243 Feb  4  2022 index.jsp
-rw-r----- 1 idpauser idpauser  5542 Mar 30  2021 tomcat.css
-rw-r----- 1 idpauser idpauser 67795 Mar 30  2021 tomcat.svg
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # 
  1. Зробіть резервну копію вже наявного index.jsp скопіювавши його в index.jsp.default:
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # cp -p index.jsp index.jsp.default

 

ПРИМІТКА. Для довідки, перш ніж впроваджувати обхідний шлях, запустіть команду curl -kv https://localhost:8543. Цей вихід слід використовувати на кроці 8 для порівняння виводу після обхідного шляху.

 

  1. Створіть новий файл під назвою index.jsp та замінити його зміст наступним:
<html>
<body>
<%
response.sendRedirect("../dataprotection/");
%>
</body>
</html>

Ось проста процедура створення та редагування index.jsp файл:

  1. Видаліть існуючі index.jsp
rm index.jsp
  1. Створіть новий index.jsp за допомогою редактора vi.
vi index.jsp
  1. Прес i щоб увійти в режим вставки. Це дозволяє перенести редакцію до файлу.
  2. Скопіюйте текст вище та вставте його в редактор vi.
  3. Вийдіть з режиму вставки, натиснувши Esc
  4. Збережіть зміни та вийдіть з vi, набравши команду :wq! і натисніть клавішу Enter.
  1. Перевірте вміст index.jsp за допомогою наступних команд:
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # ls -la
total 192
drwxr-x--- 3 idpauser idpauser  4096 Dec  6 17:05 .
drwxr-x--- 6 idpauser idpauser  4096 Dec  6 17:00 ..
-rw-r----- 1 idpauser idpauser 12243 Feb  4  2022 1
-rw-r----- 1 idpauser idpauser  6898 Mar 30  2021 RELEASE-NOTES.txt
drwxr-x--- 2 idpauser idpauser  4096 May  7  2021 WEB-INF
-rw-r----- 1 idpauser idpauser 27235 Mar 30  2021 asf-logo-wide.svg
-rw-r----- 1 idpauser idpauser   713 Mar 30  2021 bg-button.png
-rw-r----- 1 idpauser idpauser  1918 Mar 30  2021 bg-middle.png
-rw-r----- 1 idpauser idpauser  1401 Mar 30  2021 bg-nav.png
-rw-r----- 1 idpauser idpauser  3103 Mar 30  2021 bg-upper.png
-rw-r----- 1 idpauser idpauser 21630 Mar 30  2021 favicon.ico
-rw-r----- 1 idpauser idpauser    81 Feb 10 05:27 index.jsp
-rw-r----- 1 idpauser idpauser 12243 Feb  4  2022 index.jsp.default
-rw-r----- 1 idpauser idpauser  5542 Mar 30  2021 tomcat.css
-rw-r----- 1 idpauser idpauser 67795 Mar 30  2021 tomcat.svg

acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # cat index.jsp
<html>
<body>
<%
response.sendRedirect("../dataprotection/");
%>
</body>
</html>
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT #
  1. Відкрийте веб-браузер і перейдіть на веб-сторінку ACM і перевірте, чи він працює правильно. При відкритті веб-сторінки ACM:
https://<ACM IP Adddress>:8543/
Він повинен автоматично перенаправляти:
https://<ACM IP Adddress>:8543/dataprotection/#/login
  1. Перевірте зміни в командному рядку ACM:
Перш ніж впроваджувати обхідний шлях, curl -kv https://localhost:8543 буде схожим на:
 
ПРИМІТКА. Об'єкт curl -kv https://<ACM IP address>:8543 повертає той самий результат:
  
acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # curl -kv https://localhost:8543
* Rebuilt URL to: https://localhost:8543/
*   Trying 12x.0.0.1...
* TCP_NODELAY set
* Connected to localhost (12x.0.0.1) port 8543 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-SHA384
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: C=US; ST=California; L=Irvine; O=EMC; OU=Avamar; CN=localhost.localdom
*  start date: Feb  4 12:27:16 2022 GMT
*  expire date: Feb  2 12:27:16 2032 GMT
*  issuer: C=US; ST=California; L=Irvine; O=EMC; OU=Avamar; CN=localhost.localdom
*  SSL certificate verify result: self signed certificate (18), continuing anyway.
> GET / HTTP/1.1
> Host: localhost:8543
> User-Agent: curl/7.60.0
> Accept: */*
>
< HTTP/1.1 200
< Content-Type: text/html;charset=UTF-8
< Transfer-Encoding: chunked
< Date: Fri, 10 Feb 2023 05:39:29 GMT
< Connection: close
< Server: DataDomain
<



<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8" />
        <title>Apache Tomcat/9.0.45</title>
        <link href="favicon.ico" rel="icon" type="image/x-icon" />
        <link href="tomcat.css" rel="stylesheet" type="text/css" />
     <script>window.location = window.location.origin + "/dataprotection/"; </script></head>

    <body>
        <div id="wrapper">
            <div id="navigation" class="curved container">
                <span id="nav-home"><a href="https://tomcat.apache.org/">Home</a></span>
                <span id="nav-hosts"><a href="/docs/">Documentation</a></span>
                <span id="nav-config"><a href="/docs/config/">Configuration</a></span>
                <span id="nav-examples"><a href="/examples/">Examples</a></span>
                <span id="nav-wiki"><a href="https://wiki.apache.org/tomcat/FrontPage">Wiki</a></span>
                <span id="nav-lists"><a href="https://tomcat.apache.org/lists.html">Mailing Lists</a></span>
                <span id="nav-help"><a href="https://tomcat.apache.org/findhelp.html">Find Help</a></span>
                <br class="separator" />
            </div>
            <div id="asf-box">
                <h1>Apache Tomcat/9.0.45</h1>
            </div>
            <div id="upper" class="curved container">
                <div id="congrats" class="curved container">
                    <h2>If you're seeing this, you've successfully installed Tomcat. Congratulations!</h2>
                </div>

... skipped

    </body>

</html>


Коли обхідний шлях був реалізований, вихідні дані повинні стати:
 

acm:/usr/local/dataprotection/apache-tomcat-9.0.45/webapps/ROOT # curl -kv https://localhost:8543
* Rebuilt URL to: https://localhost:8543/
*   Trying 12x.0.0.1...
* TCP_NODELAY set
* Connected to localhost (12x.0.0.1) port 8543 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-SHA384
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: C=US; ST=California; L=Irvine; O=EMC; OU=Avamar; CN=localhost.localdom
*  start date: Feb  4 12:27:16 2022 GMT
*  expire date: Feb  2 12:27:16 2032 GMT
*  issuer: C=US; ST=California; L=Irvine; O=EMC; OU=Avamar; CN=localhost.localdom
*  SSL certificate verify result: self signed certificate (18), continuing anyway.
> GET / HTTP/1.1
> Host: localhost:8543
> User-Agent: curl/7.60.0
> Accept: */*
>
< HTTP/1.1 302
< Set-Cookie: JSESSIONID=3396A12A1A458BBB4DDCB636A72B66EE; Path=/; Secure; HttpOnly
< Location: ../dataprotection/
< Content-Type: text/html;charset=ISO-8859-1
< Content-Length: 0
< Date: Fri, 10 Feb 2023 05:42:58 GMT
< Connection: close
< Server: DataDomain
<
* Closing connection 0
* TLSv1.2 (OUT), TLS alert, Client hello (1):

Additional Information

Якщо після виконання описаної вище процедури на веб-сторінці ACM відображається повідомлення "Статус HTTP 500 - внутрішня помилка сервера", наприклад:

Увійдіть до ACM за допомогою SSH від імені користувача root, а потім перезапустіть службу ACM за допомогою таких команд:

service dataprotection_webapp stop
service dataprotection_webapp start

Потім знову перезавантажте веб-сторінку ACM.

За потреби зверніться до служби підтримки Dell за додатковою допомогою.

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000206114
Article Type: How To
Last Modified: 25 Aug 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.