Инженеры Axiom JDK выпустили обновления безопасности сервера приложений Libercat с фиксом двух критических CVE и пачкой улучшений. Делимся тем, что изменилось и как это может сказаться на работе ваших Java-приложений.
Начнем с главного — уязвимости
Вышли обновления для Libercat 9, 10, 11 и Libercat EE 8, 9. В них закрыли две серьёзные уязвимости:
CVE-2025-31650 с CVSS 7.5 (высокий уровень) — проблема, затрагивающая catalina, может повлиять на доступность. Типичная DoS-атака.
CVE-2025-31651 с CVSS 9.8 (критичный уровень) — та же зона, но затрагивает уже целостность и конфиденциальность.
Такое игнорировать не стоит. Эти штуки стреляют в проде, особенно на загруженных инстансах.
Что еще добавили
Всего — 83 усовершенствования. Из них:
в Libercat 9 — 26 штук
в Libercat 10 — 21
в Libercat 11 — 32
в Libercat EE 8 и 9 — по две точечные доработки.
Основной фокус — отказоустойчивость, ресурсоёмкость, поведение при падениях. В некоторых случаях мы просто доводили старые участки кода до ума. Где-то оптимизировали обработку потоков, где-то — init-секцию.
Переехали на log4j2
В EE-ветке теперь можно забыть про JULI — появился полноценный log4j2. Это даёт плюсы:
можно ставить нормальные права на лог-файлы
логировать в syslog или, скажем, отправлять логи сразу в централизованный сборщик
настраивать логгеры отдельно на уровне каждого war-приложения (это можно было и раньше, но теперь появилась ротация)
Короче, ведёт себя так, как от него ждут админы и devops’ы.
Почему мы вообще пишем об этом
Потому что сервер приложений — штука такая, про которую редко кто задумывается, пока не начнёт падать прод. Но если вы используете Jakarta EE или деплоите старые war-файлы — скорее всего у вас есть Tomcat, и не всегда актуальный.
Libercat вырос из Apache Tomcat и Apache TomEE. Все релизы мы собираем по РБПО и обязательно аудируем, так что со стандартами всё ок. Но, главное, мы контролируем весь стек — от библиотеки до JDK, что даёт гибкость в настройках и обновлениях.
Все сборки тестируем и выпускаем для 20 системных платформ, включая Astra Linux, ALT Linux SP, Red OS, ROSA — в общем, все, что массово используется. Никаких нестабильных флагов — собираем с дефолтными настройками для x86_64.
Если вы работаете с Libercat — обновитесь. Если еще нет — время задуматься о переходе на отечественные безопасные серверные Java-продукты и обезопасить свои КИИ.
Источник: habr.com