Vigil@nce : Apache Tomcat, vulnérabilité du Windows Installer
novembre 2009 par Vigil@nce
Lorsque Tomcat est installé avec l’installeur Windows, le mot de
passe de l’utilisateur admin est vide.
– Gravité : 1/4
– Conséquences : accès/droits privilégié
– Provenance : client intranet
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : moyenne (2/3)
– Date création : 12/11/2009
PRODUITS CONCERNÉS
– Apache Tomcat
DESCRIPTION DE LA VULNÉRABILITÉ
Sous Windows, Apache Tomcat peut être installé de plusieurs
manières :
– Windows Installer (.EXE)
– archive (.ZIP ou .TAR.GZ)
Le fichier $CATALINA_BASE/conf/tomcat-users.xml contient les mots
de passe et les rôles de chaque utilisateur. Ce fichier est
utilisé pour les authentifications MemoryRealm et
UserDatabaseRealm.
Par défaut, l’installeur Windows crée un utilisateur nommé "admin"
sans mot de passe, et avec les rôles "admin" et "manager".
Si ce mot de passe n’est pas changé après l’installation, un
attaquant peut donc par exemple se connecter sur le Manager
(http://localhost:8080/manager/html) pour administrer le serveur.
CARACTÉRISTIQUES
– Références : BID-36954, CVE-2009-3548, VIGILANCE-VUL-9191
– Url : http://vigilance.fr/vulnerabilite/Apache-Tomcat-vulnerabilite-du-Windows-Installer-9191