Urgente ! tomcat 9 ou superior - vulnerabilidade de segurança


#1

Boa tarde Senhores, tudo bem ?
Hoje recebi varias solicitações de clientes comerciais que possuem o ScadaBR versão 1.1 instalada em suas empresas para controle de pequenas aplicações porem o qual se encontram instalados no servidor dessas empresas ( PC com windows 10 pro dedicado para setor de automação ) e conforme notificação da propria apache ( https://tomcat.apache.org/security-9.html ), a unica forma de corrigir este problema e atualizando para a ultima versão.

Tentei de todas as formas instalar o SBR no tomcat 9, editei o arquivo server dentro da pasta bin, mas nada adiantou, o tomcat roda, mas nao sobre o SBR, ele ate da o deploy no arquivo scadabr.war, mas não sobe no apache.

Quais os passos para conseguir migrar para o Tomcat9 ou superior ?
Esse tema realmente criou uma barreira para uso " empresarial " do ScadaBR.
Vou tentando por aqui tambem, mas se alguem conseguir alguma resolução, fico no aguardo, pois acredito ser um tema relevante para todos nos usuarios do ScadaBR e ScadaLTS.

Obrigado desde ja,

Atenciosamente,

Marcel Martine
EM Automação


#2

Olá Marcel, tudo bem?
Acho que você precisa pegar o source do ScadaBR e compilar para ele trabalhar com a versão do tomcat que voce quer utilizar. Será necessário preparar um ambiente Eclipse para abrir o projeto e fazer a compilação.

Aqui tem um topico que ensina a fazer:
http://www.scadabr.com.br/index.php/2017/06/06/compilacao-do-scadabr1-1/

Att:
Renne Takao


#3

Bom dia Renne, tudo bem ?
Desculpe a demora em retornar, pois é, conversei por email também com o eng. Fabio Durão que me informou que no ScadaBR muito provavelmente ira ficar nessa versão mesmo, se houver upgrades será na versão do ScadaLTS que ( ao meu modo de pensar ) infelizmente o desenvolvimento foi parar fora do Brasil.
Vou tentar sim modificar o código fonte via Eclipse e tentar rodar na versão 10, porém eu sei que varias bibliotecas são incompatíveis com essa versão do Tomcat.
Mas vamos tentando…rs
Com relação a segurança em si, existe as atualizações de segurança para todas as versões do Tomcat a partir da versão 7, ou seja, logo logo essa versão também ficará sem suporte.
Essa atualização implica basicamente em remover a ponte “insegura” que existe entre servidores Apache e Apache Tomcat, e se for realmente necessário o uso ( como no meu caso ) será necessário atualizar os dois servidores e criar uma ponte AJP com usuário e senha, só dessa maneira será possivel utilizar.
SDS,
Marcel Martine


#4

Alô Marcel, quanto tempo

Tem um pessoal discutindo e trabalhando em atualizar o ScadaBR “no mínimo” para o j8 e se possível para javas mais novos (talvez com alvo ali pelo java 12… e uma reflexão importante sobre passar para o openJDK ao invés do java da oracle).

Estou tentando oferecer meu apoio para unificar esses esforços, e para não colocarmos nova energia em problemas que já foram resolvidos antes

Quanto ao ScadaBR ter “ido parar fora do Brasil”, à primeira vista pode parecer estranho, porém mais pra frente devo voltar a fazer um post sobre isso.

Por enquanto, vamos tentar pensar que “o mundo é um só”… e não foi o desenvolvimento que foi parar lá fora – somos nós brasileiros que estamos tendo dificuldade de participar. Seja por barreiras culturais ou pela própria linguagem, a contribuição em código-fonte dos brasileiros sempre foi muito pequena, e falhamos em montar um corpo de desenvolvedores Java aptos a contribuir.

Não digo que a contribuição da comunidade é pequena, muito pelo contrário, NADA existiria sem os brasileiros, os treinamentos, os fóruns. Mas me refiro especificamente a contribuição NOS FONTES - proporcionalmente ao tamanho da comunidade, esta contribuição foi pequena, e os europeus conseguiram montar um corpo de 15 ou 20 desenvolvedores com maior facilidade. Mais uma vez, vamos trabalhar melhor na comunicação e descobrir onde o JAVEIROS VOLUNTÁRIOS estão escondidos :slight_smile: :slight_smile:

E da mesma forma que o ScadaBR “bebeu muito na fonte do Canadá”, agora os europeus do LTS estão “bebendo muito na fonte do Brasil”. Como eu já fazia 16 anos atrás e vou continuar fazendo, minha contribuição é menos em códigos-fonte, e mais em tentar unificar essa turma toda.

Agradeço imensamente o comentário, vc tem sido um dos divulgadores e apoiadores do ScadaBR mais importante “desde lá de trás”, e vim aqui só para comentar “que estamos atento” e “estamos trabalhando para malhor atendê-los” rsrsr

Em resumo, tem gente trabalhando nisso, estamos tentando unificar os esforços, e logo logo este esforço “subterrâneo” vai começar a emergir.

Se você tiver avanços, posta aqui. Se não tiver avanços, posta aqui as mensagens de erro do caminho.

Grande abraço