Как обновить Tomcat 8, уязвимый для «GhostCat», до последней версии в Ubuntu 18.04 LTS?
У меня есть сервер Ubuntu 18.04.3 с Tomcat 8.5.39. Поскольку эта версия уязвима для "GhostCat", я бы хотел обновить Tomcat 8 до последней версии (8.5.57).
Однако последней версии, похоже, нет в репозитории apt. Запуск apt-get upgrade tomcat8 сообщает мне, что tomcat8 уже является последней версией (8.5.39-1ubuntu1 ~ 18.04.3) . Есть ли способ решить эту проблему?
Вы либо добавляете собственное репо Tomcat в свой список репо (если он есть)
, либо устанавливаете бинарный файл Tomcat (или из исходников) с веб-страницы Apache Tomcat: ЗДЕСЬ ---- >>> https://tomcat.apache.org/download-80.cgi
Я заметил, что ЗДЕСЬ есть README ---- >>> http: / /apache.forsale.plus/tomcat/tomcat-8/v8.5.57/README.html
Также, возможно, вашему дистрибутиву требуется обновление или обновление, чтобы включить последнюю версию Tomcat, возможно, Ubuntu 18.04.3 не поддерживает включать последние пакеты и не ...
Извините, я не эксперт по Ubuntu.
Пакет tomcat8 для bionic (18.04LTS) в настоящее время 8.5.39-1ubuntu1 ~ 18.04.3 и focal (20.04LTS) уже имеет tomcat9 . Вы уже используете новейшую версию своего дистрибутива!
Вы можете установить пакеты из другой версии Ubuntu, но это может нарушить некоторые зависимости: это усложняет обслуживание вашей системы или, в худшем случае, делает ее бесполезной. Вы также можете скомпилировать свой собственный, но в этом случае вы потеряете все автоматические обновления безопасности: либо ваша система станет уязвимой, либо вам придется компилировать Tomcat снова и снова.
Для всех, кто задает этот вопрос, напутавшись репозитории чрезвычайно опасны и никогда не рекомендуются.Если вам действительно нужна более новая версия из соображений совместимости или новых возможностей, вам лучше обновить весь дистрибутив.
Для обновлений безопасности вы должны подождать, пока они не будут исправлены в дистрибутиве . Это довольно хорошо аргументировано в DontBreakDebian : Не страдайте от синдрома Shiny New Stuff , а также применимо к Ubuntu:
Перед тем, как пытаться установить последнюю версию некоторого программного обеспечения от где-нибудь, кроме стабильных репозиториев Debian, вот несколько о чем следует помнить:
Debian поддерживает исправления безопасности и новые функции, оценивая программное обеспечение, сравнивая номер версии пакета Debian с номером версии восходящего потока номер версии не учитывает это.
Последняя версия программного обеспечения, которое вы пытаетесь использовать, также может содержать новые ошибки.
Установка программного обеспечения из мест, отличных от официальных репозиториев Debian, не входит в сферу ответственности группы безопасности Debian. .
Однако обновление пакета представляет собой проблему XY , и вместо обновления вам следует ...
Решение проблемы GhostCat (CVE-2020-1938)
GhostCat - это уязвимость, связанная с конфигурацией по умолчанию, а не с кодом. Из описания для CVE-2020-1938 :
Tomcat рассматривает соединения AJP как имеющие более высокое доверие, чем для Например, аналогичное HTTP-соединение. Если такие подключения доступны для злоумышленника они могут быть использованы неожиданными способами. В Apache Tomcat от 9.0.0.M1 до 9.0.0.30, от 8.5.0 до 8.5.50 и с 7.0.0 до 7.0.99 Tomcat поставляется с включенным по умолчанию соединителем AJP, который прослушивает все настроенные IP-адреса. Это было ожидаемо (и рекомендуется в руководстве по безопасности), что этот коннектор будет отключено, если не требуется.
Коннектор AJP, вызывающий уязвимость, отключен в Ubuntu по умолчанию ( Комментарий № 1 к ошибке № 1865904 ). Если вы включили коннектор AJP, отключение коннектора или ограничение доступа к нему должно решить проблему.