SalmorejoTech 2024 - Spring Boot <3 Testcontainers
Cambio clave por defecto Apache Tomcat
1. Cambio clave por defecto Apache Tomcat | Moisés Araya
[1]
Hardening básico Apache Tomcat
El motivo de esta sencilla guía es mitigar la vulnerabilidad CVE-2009-3548 que afecta a las versiones
de Apache Tomcat 6.0.0 hasta la 6.0.20 y las versiones 5.5.0 hasta la 5.5.28.
Procedimiento.
Detener servicio tomcat (services.msc), respaldar el archivo de usuarios, modificar el archivo de
usuarios [tomcat-users.xml] (cambiar contraseña por defecto), iniciar el servicio y validar la
autenticación vía URL.
Archivo original
< ?xml version='1.0' encoding='utf-8'?>
<tomcat -users>
<role rolename="tomcat"/> <role rolename="role1"/>
<role rolename="admin"/> <role rolename="manager" />
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user rusername="admin" password="admin" roles="tomcat,manager,admin" />
<user username="both" password="tomcat" roles="tomcat,role1"/>
<user username="role1" password="tomcat" roles="role1"/>
</tomcat>
Archivo modificado
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="manager"/>
<role rolename="admin"/>
<user username="admin" password="contraseña" roles="manager,admin"/>
</tomcat-users>
Resultados:
http://localhost/manager/html
2. Cambio clave por defecto Apache Tomcat | Moisés Araya
[2]
http://localhost/host-manager/html
http://localhost/manager/status
Detalle de la vulnerabilidad:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3548
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3548