Archivo

miércoles, 20 de febrero de 2013

Bypass JBoss: "unauthenticated autentication"



     Curiosa falla ocurre en JBoss Enterprise Application Platform 4.3.0 CP10, cuando se encuentra activo el modulo LDAP login; resulta que, por defecto este modulo se encuentra erroneamente configurado, y permite poder logearse sin contraseña alguna. Solo se necesita saber el nombre de usuario y dejar en blanco el password, de esta manera, simplemente obtenes una "autenticacion" sin ser "autenticado" o_O

     Esta falla se soluciona aplicando la ultima actualizacion de seguridad que liberó la gente de Red Hat; basicamente lo que hace es setear la opción allowEmptyPasswords con el valor False.

     Así que, si olvidaste una clave, estaria bueno que intentes dejar ese campo vacio y ver que pasa (ojo!! debes introducir un usuario valido :)


Para mas información:

https://rhn.redhat.com/errata/RHSA-2013-0248.html
https://bugzilla.redhat.com/show_bug.cgi?id=885569
Publicar un comentario