独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月8日、Apache Tomcatにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・CVE-2025-31650
Apache Tomcat 11.0.0-M2から11.0.5まで
Apache Tomcat 10.1.10から10.1.39まで
Apache Tomcat 9.0.76から9.0.102まで
・CVE-2025-31651
Apache Tomcat 11.0.0-M1から11.0.5まで
Apache Tomcat 10.1.0-M1から10.1.39まで
Apache Tomcat 9.0.0.M1から9.0.102まで
The Apache Software Foundationが提供するApache Tomcatには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・不正なHTTP Priorityヘッダのエラー処理が不適切なため、クリーンアップが不完全となり、メモリリークが発生する(CVE-2025-31650)
→大量の細工されたリクエストを処理することによりOutOfMemoryExceptionが発生し、サービス運用妨害(DoS)状態を引き起こされる
・特定のリライトルール設定が、細工されたリクエストによってバイパスされる(CVE-2025-31651)
→問題となるリライトルール設定を使ってセキュリティ制約を実装している場合、セキュリティ制約をバイパスされる
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、本脆弱性は下記のバージョンで修正されている。
Apache Tomcat 11.0.6およびそれ以降
Apache Tomcat 10.1.40およびそれ以降
Apache Tomcat 9.0.104およびそれ以降
