ClickCease Corriger les vulnérabilités de Tomcat dans les systèmes Ubuntu en fin de vie

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Corriger les vulnérabilités de Tomcat dans les systèmes Ubuntu en fin de vie

par Rohan Timalsina

Le 12 août 2024 - L'équipe d'experts de TuxCare

Apache Tomcat est un serveur web et un conteneur de servlets open-source largement utilisé, mais comme tout logiciel, il n'est pas à l'abri des vulnérabilités. Canonical a publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités de Tomcat dans différentes versions, notamment Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM et Ubuntu 16.04 ESM. Ces vulnérabilités, si elles sont exploitées, peuvent avoir de graves conséquences, notamment un déni de service, l'exécution de code arbitraire et la divulgation d'informations sensibles.

Dans cet article, nous explorons les détails de ces vulnérabilités et fournissons des conseils sur la façon de protéger vos systèmes avec des mises à jour de sécurité essentielles et un support étendu.

 

Vulnérabilités de Tomcat corrigées dans Ubuntu

 

CVE-2020-9484 (Score de gravité CVSS v3 : 7.0 élevé)

Une vulnérabilité a été découverte dans Tomcat, qui gère de manière incorrecte certaines configurations peu courantes de PersistenceManager avec FileStore. Ce problème pourrait potentiellement permettre à un attaquant distant d'exécuter du code arbitraire. Il n'affecte que Tomcat 8 fonctionnant sous Ubuntu 18.04.

 

CVE-2021-25122 (Score de gravité CVSS v3 : 7.5 élevé)

Une autre vulnérabilité a été découverte dans le traitement par Tomcat de certaines demandes de connexion HTTP/2. Un attaquant distant peut exploiter cette faille pour obtenir des réponses incorrectes pouvant contenir des informations sensibles. Cette vulnérabilité affecte également Tomcat 8 sur Ubuntu 18.04 LTS. Le traitement incorrect des requêtes HTTP/2 peut entraîner des fuites d'informations, ce qui représente un risque important pour la confidentialité des données.

 

CVE-2021-41079 (Score de gravité CVSS v3 : 7.5 élevé)

Thomas Wozenilek a identifié une vulnérabilité dans Tomcat liée au traitement de certains paquets TLS. Ce problème pourrait potentiellement permettre à un attaquant distant de provoquer un déni de service. Cette vulnérabilité est spécifique à Tomcat 8 sur Ubuntu 18.04. Les attaques par déni de service peuvent perturber la disponibilité des services web, causant des problèmes opérationnels importants.

 

CVE-2022-23181 (Score de gravité CVSS v3 : 7.0 élevé)

Trung Pham a découvert une condition de course dans Tomcat lors de la manipulation de fichiers de session avec FileStore. Cette vulnérabilité pourrait permettre à un attaquant distant d'exécuter du code arbitraire. Elle affectait Tomcat 8 sur Ubuntu 16.04 et 18.04, ainsi que Tomcat 9 sur Ubuntu 18.04 LTS et 20.04 LTS.

 

CVE-2022-29885 (Score de gravité CVSS v3 : 7.5 élevé)

Une vulnérabilité a été identifiée dans la documentation de Tomcat, qui indique de manière incorrecte que EncryptInterceptor fournit une protection de la disponibilité sur des réseaux non fiables. Cette information erronée pourrait permettre à un attaquant distant de provoquer un déni de service, même lorsque EncryptInterceptor est utilisé. Ce problème affecte Tomcat 8 sur Ubuntu 18.04 LTS et Tomcat 9 sur Ubuntu 18.04, 20.04 LTS, et 22.04 LTS.

 

Protéger vos systèmes Ubuntu

 

Compte tenu des risques associés à ces vulnérabilités, il est essentiel de s'assurer que votre installation de Tomcat est à jour avec les derniers correctifs de sécurité. Pour les versions d'Ubuntu prises en charge, telles qu'Ubuntu 22.04 LTS et 20.04 LTS, les mises à jour de sécurité sont disponibles via le dépôt standard. L'application régulière de ces mises à jour permet d'atténuer les risques posés par les vulnérabilités connues.

Cependant, Ubuntu 16.04 et 18.04 ont atteint leur fin de vie et ne reçoivent plus de mises à jour de sécurité standard. Si vous utilisez ces versions, vous devez envisager une mise à niveau vers une version prise en charge. Vous pouvez également opter pour des services d'assistance étendus.

 

Soutien au cycle de vie étendu (ELS) avec TuxCare

 

TuxCare offre un service de support de cycle de vie étendu (ELS) pour Ubuntu 16.04 et 18.04, fournissant des correctifs de sécurité automatisés jusqu'à cinq ans après la date officielle de fin de vie. Ce service couvre un large éventail de paquets, y compris le noyau Linux, Tomcat, glibc, OpenSSL, Python, OpenJDK, et plus encore. Avec l'ELS de TuxCare, vos systèmes restent protégés contre les menaces émergentes, garantissant un environnement informatique sûr même au-delà de la période de support standard.

 

Conclusion

 

Les vulnérabilités de Tomcat peuvent présenter des risques importants pour vos applications web et vos données. En restant informé de ces vulnérabilités et en appliquant rapidement les mises à jour de sécurité, vous pouvez protéger vos systèmes contre les attaques potentielles. Pour les systèmes fonctionnant sur des versions EOL d'Ubuntu, les options de support étendu comme ELS de TuxCare constituent une solution précieuse pour maintenir la sécurité et la conformité.

Ce guide présente les dangers de l'exécution de Linux en fin de vie.

 

Source : USN-6943-1

Résumé
Corriger les vulnérabilités de Tomcat dans les systèmes Ubuntu en fin de vie
Nom de l'article
Corriger les vulnérabilités de Tomcat dans les systèmes Ubuntu en fin de vie
Description
Découvrez les vulnérabilités critiques de Tomcat et comment protéger vos serveurs Ubuntu avec des mises à jour essentielles et un support étendu.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !