公開日:2025/07/14 最終更新日:2025/07/14

JVNVU#91378143
Apache Tomcatにおける複数の脆弱性

概要

The Apache Software Foundationから、Apache Tomcatの脆弱性(CVE-2025-52434、CVE-2025-52520、CVE-2025-53506)に対するアップデートが公開されました。

影響を受けるシステム

CVE-2025-52434

  • Apache Tomcat 9.0.0.M1から9.0.106まで
CVE-2025-52520、CVE-2025-53506
  • Apache Tomcat 11.0.0-M1から11.0.8まで
  • Apache Tomcat 10.1.0-M1から10.1.42まで
  • Apache Tomcat 9.0.0.M1から9.0.106まで

詳細情報

The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。

  • 接続終了時の競合状態により、APR/Nativeコネクタ使用時にJVMがクラッシュする(CVE-2025-52434)
  • 特定の構成においてファイルアップロード時に整数オーバーフローが発生し、サイズ制限を回避される(CVE-2025-52520)
  • HTTP/2クライアントが初期設定の最大ストリーム数を無視し、同時に多数のストリームを開こうとすることで、サーバーのリソースを枯渇させる(CVE-2025-53506)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • サービス運用妨害(DoS)状態にされる(CVE-2025-52434、CVE-2025-52520、CVE-2025-53506)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。

  • Apache Tomcat 11.0.9およびそれ以降
  • Apache Tomcat 10.1.43およびそれ以降
  • Apache Tomcat 9.0.107およびそれ以降

ベンダ情報

ベンダ リンク
The Apache Software Foundation Fixed in Apache Tomcat 11.0.9
Fixed in Apache Tomcat 10.1.43
Fixed in Apache Tomcat 9.0.107

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia