Noviembre 11, 2009
El instalador de Windows de Tomcat deja la contraseña en blanco para el usuario administrativo de la aplicación, lo que puede resultar en un grave problema de seguridad para los que hayan instalado Tomcat bajo Windows con el instalador.
Las versiones afectadas son Tomcat de 5.5.0 a 5.5.28 y de 6.0.0 a 6.0.20, aunque las que ya no son soportadas también podrían verse afectadas. El fallo es que el Windows Intaller deja la contraseña en blanco y no es cambiada después del proceso de instalación. El usuario admin tiene roles de admin y manager, con lo que posee completos poderes sobre Tomcat.
Los usuarios que hayan instalado Tomcat directamente desde un archivo zip o tar.gz no se ven afectados. Es posible eliminar el usuario del archivo de configuración tomcat-users.xml tras la instalación para no verse afectado por el problema, o establecerle en el mismo fichero una contraseña robusta.
Se corregirá este error en las próximas publicaciones 6.0.x y 5.5.x.
fuente: hispasec.com
Deja un Comentario » | 
02.News | Etiquetado: Apache Tomcat, contraseña en blanco, Instalación insegura de Tomcat bajo Windows, servidor web | 
Permalink
Escrito por komz
Junio 5, 2009
Se han publicado actualizaciones para corregir dos vulnerabilidades (anuncias ayer aqui) en Apache Tomcat, que podrían ser explotadas para provocar denegaciones de servicio o descubrir información sensible.
Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.
El primero de los problemas está provocado por una insuficiencia de comprobación de errores en algunas clases de autenticación, lo que podría permitir a atacantes realizar una enumeración de nombres de usuario válidos mediante el envío al servidor de contraseñas codificadas como URLs específicamente creadas, cuando autenticación (j_security_check) basada en FORM se usa con “MemoryRealm”, “DataSourceRealm” o “JDBCRealm”.
La segunda vulnerabilidad está provocada debido a que Tomcat cierra conexiones AJP cuando procesa una petición con cabeceras no válidas mediante el conector Java AJP, esto podría provocar el bloqueo por un tiempo de un miembro de un balanceador de carga mod_jk, con la consiguiente condición de denegación de servicio.
Se ven afectadas las versiones:
Apache Tomcat versiones 4.1.0 a 4.1.39
Apache Tomcat versiones 5.5.0 a 5.5.27
Apache Tomcat versiones 6.0.0 a 6.0.18
Se recomienda la instalación de las actualizaciones publicadas según la versión afectada:
Apache Tomcat versión 6.0.20 :
http://tomcat.apache.org/download-60.cgi
Apache Tomcat versión 5.5.SVN :
http://svn.apache.org/viewvc?rev=781362&view=rev
http://svn.apache.org/viewvc?rev=781379&view=rev
Apache Tomcat versión 4.1.SVN :
http://svn.apache.org/viewvc?rev=781362&view=rev
http://svn.apache.org/viewvc?rev=781382&view=rev
fuente: hispasec.com
Deja un Comentario » | 
14.Updates/ Releases | Etiquetado: Apache Tomcat, Corregidas dos vulnerabilidades en Apache Tomcat | 
Permalink
Escrito por komz
Junio 4, 2009
Apache Tomcat is prone to a username-enumeration weakness because it displays different responses to login attempts, depending on whether or not the username exists.
Attackers may exploit this weakness to discern valid usernames. This may aid them in brute-force password cracking or other attacks.
The following are vulnerable:
Tomcat 4.1.x (prior to 4.1.40)
Tomcat 5.5x (prior to 5.5.28)
Tomcat 6.0.x (prior to 6.0.20)
Published: Jun 03 2009 12:00AM
Updated: Jun 03 2009 06:49PM
REFERENCIA DE LA VULNERABILIDAD
EXPLOIT
fuente: securityfocus.com
Deja un Comentario » | 
03.Vulnerabilidades | Etiquetado: Apache Tomcat, Apache Tomcat Form Authentication Existing/Non-Existing Username Enumeration Weakness | 
Permalink
Escrito por komz
