Обновили Libercat — рассказываем, что устранили и почему это важно

Инженеры Axiom JDK выпустили обновления безопасности сервера приложений Libercat с фиксом двух критических CVE и пачкой улучшений. Делимся тем, что изменилось и как это может сказаться на работе ваших Java-приложений.

Вышли обновления для Libercat 9, 10, 11 и Libercat EE 8, 9. В них закрыли две серьёзные уязвимости:

CVE-2025-31650 с CVSS 7.5 (высокий уровень) — проблема, затрагивающая catalina, может повлиять на доступность. Типичная DoS-атака.

CVE-2025-31651 с CVSS 9.8 (критичный уровень) — та же зона, но затрагивает уже целостность и конфиденциальность.

Такое игнорировать не стоит. Эти штуки стреляют в проде, особенно на загруженных инстансах.

Всего — 83 усовершенствования. Из них:

в Libercat 9 — 26 штук

в Libercat 10 — 21

в Libercat 11 — 32

в Libercat EE 8 и 9 — по две точечные доработки.

Основной фокус — отказоустойчивость, ресурсоёмкость, поведение при падениях. В некоторых случаях мы просто доводили старые участки кода до ума. Где-то оптимизировали обработку потоков, где-то — init-секцию.

В EE-ветке теперь можно забыть про JULI — появился полноценный log4j2. Это даёт плюсы:

можно ставить нормальные права на лог-файлы

логировать в syslog или, скажем, отправлять логи сразу в централизованный сборщик

настраивать логгеры отдельно на уровне каждого war-приложения (это можно было и раньше, но теперь появилась ротация)

Короче, ведёт себя так, как от него ждут админы и devops’ы.

Потому что сервер приложений — штука такая, про которую редко кто задумывается, пока не начнёт падать прод. Но если вы используете Jakarta EE или деплоите старые war-файлы — скорее всего у вас есть Tomcat, и не всегда актуальный.

Libercat вырос из Apache Tomcat и Apache TomEE. Все релизы мы собираем по РБПО и обязательно аудируем, так что со стандартами всё ок. Но,