Archivo
miércoles, 20 de febrero de 2013
Bypass JBoss: "unauthenticated autentication"
Curiosa falla ocurre en JBoss Enterprise Application Platform 4.3.0 CP10, cuando se encuentra activo el modulo LDAP login; resulta que, por defecto este modulo se encuentra erroneamente configurado, y permite poder logearse sin contraseña alguna. Solo se necesita saber el nombre de usuario y dejar en blanco el password, de esta manera, simplemente obtenes una "autenticacion" sin ser "autenticado" o_O
Esta falla se soluciona aplicando la ultima actualizacion de seguridad que liberó la gente de Red Hat; basicamente lo que hace es setear la opción allowEmptyPasswords con el valor False.
Así que, si olvidaste una clave, estaria bueno que intentes dejar ese campo vacio y ver que pasa (ojo!! debes introducir un usuario valido :)
Para mas información:
https://rhn.redhat.com/errata/RHSA-2013-0248.html
https://bugzilla.redhat.com/show_bug.cgi?id=885569
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario