← Back to branch summary

~james-page/ubuntu/oneiric/tomcat6/CVE-2011-3190

« back to all changes in this revision

Viewing changes to webapps/manager/401.jsp

  • Committer: Bazaar Package Importer
  • Author(s): tony mancill
  • Date: 2011-04-18 20:38:29 UTC
  • mfrom: (2.2.27 sid)
  • Revision ID: james.westby@ubuntu.com-20110418203829-ogfwstmnzl4o3nby
Tags: 6.0.32-3
http://bugs.debian.org/623242
* Team upload.
* Include upstream patch for ASF Bugzilla - Bug 50700
  (Context parameters are being overridden with parameters from the 
   web application deployment descriptor) (Closes: #623242)

Show diffs side-by-side

added added

removed removed

Lines of Context:
webapps/manager/401.jsp
1
 
<!--
 
1
<%--
2
2
  Licensed to the Apache Software Foundation (ASF) under one or more
3
3
  contributor license agreements.  See the NOTICE file distributed with
4
4
  this work for additional information regarding copyright ownership.
13
13
  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
14
14
  See the License for the specific language governing permissions and
15
15
  limitations under the License.
16
 
-->
 
16
--%>
17
17
<%
18
18
  response.setHeader("WWW-Authenticate", "Basic realm=\"Tomcat Manager Application\"");
19
19
%>
 
20
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
20
21
<html>
21
22
 <head>
22
23
  <title>401 Unauthorized</title>
23
 
  <style>
 
24
  <style type="text/css">
24
25
    <!--
25
26
    BODY {font-family:Tahoma,Arial,sans-serif;color:black;background-color:white;font-size:12px;}
26
27
    H1 {font-family:Tahoma,Arial,sans-serif;color:white;background-color:#525D76;font-size:22px;}
35
36
    You are not authorized to view this page. If you have not changed
36
37
    any configuration files, please examine the file
37
38
    <tt>conf/tomcat-users.xml</tt> in your installation. That
38
 
    file will contain the credentials to let you use this webapp.
 
39
    file must contain the credentials to let you use this webapp.
39
40
   </p>
40
41
   <p>
41
 
    You will need to add <tt>manager</tt> role to the config file listed above.
42
 
    For example:
 
42
    For example, to add the <tt>manager-gui</tt> role to a user named
 
43
    <tt>tomcat</tt> with a password of <tt>s3cret</tt>, add the following to the
 
44
    config file listed above.
 
45
   </p>
43
46
<pre>
44
 
&lt;role rolename="manager"/&gt;
45
 
&lt;user username="tomcat" password="s3cret" roles="manager"/&gt;
 
47
&lt;role rolename="manager-gui"/&gt;
 
48
&lt;user username="tomcat" password="s3cret" roles="manager-gui"/&gt;
46
49
</pre>
47
 
   </p>
 
50
   <p>
 
51
    Note that for Tomcat 6.0.30 onwards, the roles required to use the manager
 
52
    application were changed from the single <tt>manager</tt> role to the
 
53
    following four roles. You will need to assign the role(s) required for
 
54
    the functionality you wish to access.
 
55
   </p>
 
56
    <ul>
 
57
      <li><tt>manager-gui</tt> - allows access to the HTML GUI and the status
 
58
          pages</li>
 
59
      <li><tt>manager-script</tt> - allows access to the text interface and the
 
60
          status pages</li>
 
61
      <li><tt>manager-jmx</tt> - allows access to the JMX proxy and the status
 
62
          pages</li>
 
63
      <li><tt>manager-status</tt> - allows access to the status pages only</li>
 
64
    </ul>
 
65
   <p>
 
66
    The HTML interface is protected against CSRF but the text and JMX interfaces
 
67
    are not. To maintain the CSRF protection:
 
68
   </p>
 
69
   <ul>
 
70
    <li>The deprecated <tt>manager</tt> role should not be assigned to any
 
71
        user.</li>
 
72
    <li>Users with the <tt>manager-gui</tt> role should not be granted either
 
73
        the <tt>manager-script</tt> or <tt>manager-jmx</tt> roles.</li>
 
74
    <li>If the text or jmx interfaces are accessed through a browser (e.g. for
 
75
        testing since these interfaces are intended for tools not humans) then
 
76
        the browser must be closed afterwards to terminate the session.</li>
 
77
   </ul>
48
78
   <p>
49
79
    For more information - please see the
50
80
    <a href="/docs/manager-howto.html">Manager App HOW-TO</a>.
51
81
   </p>
52
82
 </body>
53
83
 
54
 
</html>
 
84
</html>
 
 
b'\\ No newline at end of file'