在 Ubuntu 16.04 上我一直在使用tomcat8软件包。我喜欢自动安装过程,并保证在 5 年内收到由 Canonical 提供的打包安全更新。因此,尽管 8.0 版本已宣布停产,我仍然可以在我的 Ubuntu 服务器上使用它,因为我知道任何漏洞都将得到解决。
$ ubuntu-support-status --show-supported
Supported until April 2021 (Canonical - 5y):
tomcat8 tomcat8-admin tomcat8-common
令我沮丧的是,在 Ubuntu 18.04 上tomcat8软件包已移至 Universe。据我了解,没有支持保证,只要主流产品受 Apache 基金会支持,安全补丁可能会或可能不会分发。
我对事情的理解正确吗? 有没有一种方便的方法可以像 16.04 一样轻松地在 Ubuntu 18.04 上使用安全更新修补 tomcat?
更新:更清楚的是,使用 16.04,我只需运行apt update tomcat8
并确保没有未修补的漏洞。今天在 18.04 上运行相同的命令,我得到的版本8.5.30-1ubuntu1
落后于最新版本可用的(8.5.37
)并且显然受到一个以上已知漏洞。
答案1
据我了解,只要主流产品得到 Apache 基金会的支持,就没有支持保证,并且安全补丁可能会或可能不会分发。
正确,但尽可能长时间地保持支持才符合他们的最大利益。
有没有一种方便的方法可以像 16.04 一样轻松地在 Ubuntu 18.04 上使用安全更新修补 tomcat?
对您来说没有任何变化;它仅来自更直接的渠道,因此如果有的话,您应该会看到更新出现得更快,而不仅仅是安全更新。
旧:通过 Apache 更新 tomcat -> 如果特定软件包有与 Ubuntu 相关的更改,Ubuntu 安全团队将评估更改并添加补丁 -> 向您更新。
新功能:通过 Apache 更新 tomcat-> 向您更新。
Canonical 决定取消对软件包所做的更改,这样就可以将其从安全中移除。对默认安装的更改越少,问题就越少。这种情况很可能会发生,自从 Canonical 停止使用 Unity 以来,许多其他软件也发生过这种情况:我们将回到软件的原始来源。