Apache Tomcat: El password del administrador está en blanco

(Por El Microsaurio) Años y años riéndose de Microsoft, que instala cosas inseguras por defecto. Tan extendido es el tema, que “Configuraciones inseguras debido a características instaladas por defecto” suena a tema de examen. Esta vez, los diseñadores de Apache se sacaron lo más parecido a un cero.

Ayer llegó el informe del US-CERT. Según ellos (y ¿quién soy yo para discutirles?) el instalador para Windows que se usa en Apache Tomcat 5.5.0 hasta 5.5.28, y del 6.0.0 hasta el 6.0.20, tiene un “pequeño” defecto: luego de ejecutarse deja como “default” un password vacío para el administrador, lo cual podría permitir un ataque remoto.

Como soy un curioso de aquellos, me fui a la página oficial del proyecto Tomcat. En el área de seguridad publicaron dos avisos. El que se refiere al 5.x dice: El instalador para Windows deja un usuario y password de administrador por defecto. Si no se hace el cambio durante la instalación, queda un usuario llamado admin, con permisos de administrador, y con password en blanco. Nota: esperamos que esto se solucione en la versión 5.5.29 pero el parche todavía no tiene los votos necesarios para su publicación.

En lo que respecta a Tomcat 6.x, en la correspondiente página de seguridad escribieron exactamente lo mismo (el username del admin es admin y el password queda en blanco) y respecto al parche, esperan solucionarlo en la versión 6.0.21 pero… el parche tampoco obtuvo mayoría para su publicación.

Hasta que los democráticos desarrolladores de Tomcat se despierten, por favor, si estás administrando un equipo de estos ¿podrías ver si cambiaste el bendito password de administrador?