Назад | Перейти на главную страницу

Как обновить Tomcat 8, уязвимый для «GhostCat», до последней версии в Ubuntu 18.04LTS?

У меня есть сервер Ubuntu 18.04.3 с Tomcat 8.5.39. Поскольку эта версия уязвима для "GhostCat", я бы хотел обновить Tomcat 8 до последней версии (8.5.57).

Однако последней версии, похоже, нет в репозитории apt. Бег apt-get upgrade tomcat8 говорит мне tomcat8 is already the newest version (8.5.39-1ubuntu1~18.04.3). Есть ли способ решить эту проблему?

В tomcat8 пакет для бионический (18.04LTS) в настоящее время 8.5.39-1ubuntu1~18.04.3 и фокус (20.04LTS) уже есть tomcat9. Вы уже на новейшая версия для вашего дистрибутива!

Вы можете установить пакеты из другой версии Ubuntu, но это может нарушить некоторые зависимости: это усложняет обслуживание вашей системы или, в худшем случае, делает ее бесполезной. Вы также можете скомпилировать свой собственный, но в этом случае вы потеряете все автоматические обновления безопасности: либо ваша система станет уязвимой, либо вам придется компилировать Tomcat снова и снова.

Для всех, кому нужно задать этот вопрос, возиться с репозиториями крайне опасно и никогда не рекомендуется. Если вам действительно нужна более новая версия из соображений совместимости или новых возможностей, вам лучше обновить весь дистрибутив.

Для обновлений безопасности вам следует подождите, пока он не будет исправлен в раздаче. Это довольно хорошо аргументировано в DontBreakDebian: Не страдайте синдромом блестящих новинок, а также применимо к Ubuntu:

Прежде чем пытаться установить новейшую версию какого-либо программного обеспечения откуда-нибудь, кроме репозиториев Debian Stable, следует помнить следующее:

  • Debian поддерживает исправления безопасности и новые функции, при оценке программного обеспечения путем сравнения номера версии пакета Debian с номером версии исходной версии это не учитывается.

  • В последней версии программного обеспечения, которое вы пытаетесь использовать, также могут быть новые ошибки.

  • Установка программного обеспечения из других мест, кроме официальных репозиториев Debian, не рассматривается командой безопасности Debian.

Однако обновление пакета - это XY проблема, и вместо обновления вы должны быть ...

Обращаясь к GhostCat (CVE-2020-1938)

В GhostCat это уязвимость, связанная с конфигурацией по умолчанию, а не с кодом. Из описания для CVE-2020-1938:

Tomcat рассматривает соединения AJP как имеющие более высокое доверие, чем, например, аналогичное соединение HTTP. Если такие соединения доступны злоумышленнику, они могут быть использованы неожиданными способами. В Apache Tomcat от 9.0.0.M1 до 9.0.0.30, от 8.5.0 до 8.5.50 и с 7.0.0 до 7.0.99 Tomcat поставлялся с включенным по умолчанию соединителем AJP, который прослушивает все настроенные IP-адреса. Ожидалось (и рекомендовалось в руководстве по безопасности), что этот коннектор будет отключен, если он не потребуется.

Коннектор AJP, вызывающий уязвимость, по умолчанию отключен в Ubuntu (Комментарий # 1 для ошибки # 1865904). Если вы включили коннектор AJP, отключение коннектора или ограничение доступа к нему должно решить проблему.

Вы либо добавляете собственное репо Tomcat в свой список репо (если он есть)

Или вы устанавливаете двоичный файл Tomcat (или из исходников) с веб-страницы Apache Tomcat: ЗДЕСЬ ---- >>> https://tomcat.apache.org/download-80.cgi

Я замечаю, что ЗДЕСЬ есть README ---- >>> http://apache.forsale.plus/tomcat/tomcat-8/v8.5.57/README.html

Кроме того, возможно, вашему дистрибутиву требуется обновление или обновление, чтобы включить последнюю версию Tomcat, может быть, Ubuntu 18.04.3 не включает последние пакеты и не ...

Извините, я не эксперт по Ubuntu.