int(5276)

Boletines de Vulnerabilidades


Aumento de privilegios en Apache Tomcat

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de privilegios
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado HP Performance Manager 8.10, 8.20, 8.21

Descripción

Se ha descubierto una vulnerabilidad en el instalador de Windows para Apache Tomcat 6.0.0 a 6.0.20, 5.5.0 a 5.5.28 y probablemente versiones anteriores. La vulnerabilidad reside en el uso de una contraseña en blanco por defecto para el usuario administrador.

Un atacante remoto podría obtener un amuneto de privilegios aprovechando esta situación.

Solución



Actualización de software

Hewlett-Packard (HPSBMA02535)
HP-UX (IA) / patch HPPM8CPI_00001
HP-UX (PA) / patch HPPM8CPP_00001
Linux / patch HPPM8CPL_00001
Solaris / patch HPPM8CPS_00001
Windows / patch HPPM8CPW_00001
http://support.openview.hp.com/selfsolve/patches

Hewlett-Packard (HPSBUX02541)
HP-UX Web Server Suite v3.10
HP-UX Web Server Suite v2.31
http://support.openview.hp.com/selfsolve/patches

Identificadores estándar

Propiedad Valor
CVE CVE-2009-3548
BID 36954

Recursos adicionales

HP SECURITY BULLETIN (HPSBMA02535)
https://www13.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02181353

HP SECURITY BULLETIN (HPSBUX02541)
https://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02241113

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2010-05-19
1.1 Aviso emitido por HP (HPSBUX02541) 2010-06-17

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT