Apache Tomcat: El password del administrador está en blanco

Logo tomcat10(Por El Microsaurio) Años y años riéndose de Microsoft, que instala cosas inseguras por defecto. Tan extendido es el tema, que “Configuraciones inseguras debido a características instaladas por defecto” suena a tema de examen. Esta vez, los diseñadores de Apache se sacaron lo más parecido a un cero.

Ayer llegó el informe del US-CERT. Según ellos (y ¿quién soy yo para discutirles?) el instalador para Windows que se usa en Apache Tomcat 5.5.0 hasta 5.5.28, y del 6.0.0 hasta el 6.0.20, tiene un “pequeño” defecto: luego de ejecutarse deja como “default” un password vacío para el administrador, lo cual podría permitir un ataque remoto.

Como soy un curioso de aquellos, me fui a la página oficial del proyecto Tomcat. En el área de seguridad publicaron dos avisos. El que se refiere al 5.x dice: El instalador para Windows deja un usuario y password de administrador por defecto. Si no se hace el cambio durante la instalación, queda un usuario llamado admin, con permisos de administrador, y con password en blanco. Nota: esperamos que esto se solucione en la versión 5.5.29 pero el parche todavía no tiene los votos necesarios para su publicación.

En lo que respecta a Tomcat 6.x, en la correspondiente página de seguridad escribieron exactamente lo mismo (el username del admin es admin y el password queda en blanco) y respecto al parche, esperan solucionarlo en la versión 6.0.21 pero… el parche tampoco obtuvo mayoría para su publicación.

Hasta que los democráticos desarrolladores de Tomcat se despierten, por favor, si estás administrando un equipo de estos ¿podrías ver si cambiaste el bendito password de administrador?

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Un pensamiento en “Apache Tomcat: El password del administrador está en blanco

  1. Para mi no es error, igual cuando se instalan otros servidores tambien suelen dejr password por default que al fin de cuentas es lo mismo que dejarlo en blanco… Creo que si se es administrador de un servidor, siempre despues de intalar se debe configurar y preparan el ambiente, asi como tambien aplicar un proceso de pruebas y puesta a punto (Y esto no es nada nuevo. Es el trabajo de todo el tiempo). El problema es de administrador a mi parecer…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.