Вопрос или проблема
Кто-нибудь проверял, был ли CVE-2022.29885 портирован на Tomcat 9.0.58-1ubuntu0.1 в Ubuntu 22.04? Если да, может ли это быть ложноположительным результатом от Nessus, поскольку он помечает любую версию до 9.0.63 как уязвимую? Или же версия все еще уязвима, если не использовать Ubuntu Pro для обновления до 9.0.58-1ubuntu0.1+esm2?
Просто пытаюсь уточнить, действительно ли CVE устранен в пакете Ubuntu или Nessus ошибочно его помечает только по номеру версии.
Ответ или решение
CVE-2022-29885 представляет собой уязвимость в Apache Tomcat, которая позволяет злоумышленнику выполнять атаки, связанные с безопасностью сеансов, и осуществлять атаки на целостность данных с использованием специально сформированных запросов. В статье описывается вопрос о том, была ли эта уязвимость устранена в версии Tomcat 9.0.58-1ubuntu0.1, поставляемой с Ubuntu 22.04, и может ли проверка Nessus ошибочно считать эту версию уязвимой. Рассмотрим данный вопрос более подробно.
### Теория
Во-первых, важно понимать, что уязвимости типа, содержащегося в CVE-2022-29885, связаны с ошибками в обработке HTTP-запросов и могут использоваться злоумышленниками для проникновения в системы и проведения атак на пользователя. Обработка таких уязвимостей осуществляется через обновление соответствующих пакетов и программного обеспечения до версий, в которых проблема была исправлена.
Уязвимость была исправлена в Apache Tomcat версии 9.0.63 и выше. Это фактически создает основу для проверки, которую осуществляет Nessus, указывая на наличие уязвимости во всех версиях до 9.0.63.
### Пример
На практике, для дистрибуций, таких как Ubuntu, управление пакетами происходит через систему репозиториев, где пакеты могут получать индивидуальные исправления безопасности, не изменяя основную версию. Это называется бэкпортированием патчей. Например, пакет, маркированный как 9.0.58, может содержать исправления из 9.0.63, особенно если это произошло в рамках официальной поддержки и сообщества, отвечающего за безопасность дистрибутива.
### Применение
Здесь появляется ключевая задача — проверка информации о том, были ли действительно бэкпортированы изменения в CVE-2022-29885 в версии 9.0.58-1ubuntu0.1. В случае положительного ответа, Nessus может ошибочно считать данную версию уязвимой исключительно на основе версионных данных.
Следует проверить документы Ubuntu о безопасности и изменения пакетов для версии 22.04. Они обычно содержат подробную информацию о состоянии безопасности различных программных продуктов, включая конкретные CVE и то, какие исправления были применены к определенным версиям пакетов. Если документация подтвердит, что патч был бэкпортирован, то ошибка Nessus может быть отмечена как ложноположительная.
Если Ubuntu предлагает исправление через их расширенный сервис безопасности (ESM), как видно из уточнений насчет “9.0.58-1ubuntu0.1+esm2,” вероятно, пользователь должен включиться в ESM программу для получения последних исправлений безопасности, что может быть необходимо для окончательного устранения уязвимости в используемом программном обеспечении.
При использовании услуги ESM компания Canonical предоставляет обновления для пакетов старых и поддерживаемых версий Ubuntu, расширяя тем самым срок поддержки пакетов, но при этом эти обновления могут являться платными.
### Заключение
Понимание состояния пакетов безопасности критически важно для поддержания общей безопасности IT-инфраструктуры. На данный момент, для точного понимания, была ли уязвимость CVE-2022-29885 исправлена, необходимо уточнить статус непосредственно в репозиториях безопасности Ubuntu и в документации по изменениям пакетов. Это позволит в дальнейшем избежать потенциальных ошибок в анализе с помощью инструментов видимости безопасности, таких как Nessus, и быть уверенным в текущем состоянии используемых программных компонентов.