如何将易受"GhostCat“攻击的Tomcat 8升级到Ubuntu18.04LTS上的最新版本？

Question

我有一个运行Tomcat 8.5.39的Ubuntu18.04.3服务器。因为这个版本容易受到"GhostCat“的攻击，所以我想更新到Tomcat 8的最新版本(8.5.57)。

但是，最新版本似乎不在apt存储库中。运行apt-get upgrade tomcat8告诉我tomcat8 is already the newest version (8.5.39-1ubuntu1~18.04.3)。有办法解决这个问题吗？

Answer 1

tomcat8包装bionic (18.04LTS)目前是8.5.39-1ubuntu1~18.04.3和focal(20.04LTS)已经tomcat9。您已经在最新的版本为您的发行！

您可以从另一个版本的Ubuntu安装软件包，但这可能会打破某些依赖关系:它使维护您的系统变得更困难，或者在最坏的情况下使它变得无用。您也可以自己编译，但在这种情况下，您会丢失所有自动安全更新:要么您的系统变得易受攻击，要么您需要一次又一次地编译Tomcat。

对于每个需要问这个问题的人来说，使用存储库是非常危险的，而且从来没有推荐过。如果由于兼容性原因或所提供的新特性，您确实需要更新版本，则应该升级整个发行版。

对于安全更新，您应该等到它在发行版中被修复。这在DontBreakDebian：不要患上闪亮的新东西综合症中得到了很好的解释，并且也适用于Ubuntu：

在尝试从Debian稳定存储库以外的其他地方安装某些软件的最新版本之前，请记住以下几点：

• Debian支持安全修复和新特性，通过比较Debian包的版本号和上游版本号来判断软件没有考虑到这一点。
• 您正在尝试使用的软件的最新版本也可能有新的错误。
• Debian的安全团队不包括从官方Debian存储库以外的地方安装软件。

然而，升级包是一个XY问题，而不是升级您应该是.

寻址GhostCat (CVE-2020-1938)

GhostCat是一个与默认配置相关的漏洞，而不是代码。来自对年-2020-1938的描述：

Tomcat认为AJP连接比类似的HTTP连接具有更高的信任。如果攻击者可以使用此类连接，则可以以可能令人惊讶的方式利用这些连接。在Apache 9.0.M1至9.0.0.30、8.5.0至8.5.50和7.0.0至7.0.99中，Tomcat附带了默认启用的AJP连接器，该连接器监听所有配置的IP地址。预计(并在安全指南中建议)如果不需要，该连接器将被禁用。

导致此漏洞的AJP连接器默认情况下在Ubuntu中禁用(评论1表示bug #1865904)。如果启用了AJP连接器，则禁用连接器或限制对其的访问将修复此问题。

Answer 2

要么将Tomcat自己的回购添加到回购列表中(如果有)

或者从Apache网页安装Tomcat二进制文件(或来源)：这里-> https://tomcat.apache.org/download-80.cgi

我注意到这里有一个自述文件-> http://apache.forsale.plus/tomcat/tomcat-8/v8.5.57/README.html

此外，您的发行版可能需要更新或升级，以包括最新的Tomcat版本，可能是Ubuntu18.04.3不包括最新的软件包和习惯.

抱歉，不是Ubuntu的专家。