JVNVU#91658988
Apache Tomcatにおける複数の脆弱性（CVE-2025-66614、CVE-2026-24733、CVE-2026-24734）

The Apache Software Foundationから、Apache Tomcatの脆弱性（CVE-2025-66614、CVE-2026-24733、CVE-2026-24734）に対するアップデートが公開されました。

CVE-2025-66614、CVE-2026-24733

• Apache Tomcat 11.0.0-M1から11.0.14まで
• Apache Tomcat 10.1.0-M1から10.1.49まで
• Apache Tomcat 9.0.0.M1から9.0.112まで

• Apache Tomcat Native 2.0.0から2.0.11まで
• Apache Tomcat Native 1.3.0から1.3.4まで
• Apache Tomcat 11.0.0-M1から11.0.17まで
• Apache Tomcat 10.1.0-M7から10.1.51まで
• Apache Tomcat 9.0.83から9.0.114まで

The Apache Software Foundationから、Apache Tomcatの下記の脆弱性に対するアップデートが公開されました。

• TLSのSNI拡張機能で指定されたホスト名と、HTTPのHostヘッダーで指定されたホスト名が一致するかを検証しない。このため、複数の仮想ホストが構成され、かつホストごとにクライアント証明書の要求に関する設定が異なる環境において、クライアント証明書認証が回避される可能性がある（CVE-2025-66614）。この脆弱性は、クライアント証明書認証をConnectorレベルでのみ強制している設定が対象であり、Webアプリケーションレベルで強制している場合は影響を受けない
• HTTP/0.9は仕様上、GETメソッドのみが定義されHEADメソッドは存在しない。しかし、TomcatはHTTP/0.9リクエストをGETのみに制限していないため、HTTP/0.9のHEADリクエストを受信するとGETリクエストに対するセキュリティ制約が回避される可能性がある（CVE-2026-24733）
• Tomcat Native（JNIおよびFFM）でOCSPレスポンダを使用する場合、OCSP応答に対する検証または有効期間の確認が完全には行われないため、証明書の失効確認処理が回避される可能性がある（CVE-2026-24734）

• クライアント証明書認証を回避される（CVE-2025-66614）
• GETリクエストに対するセキュリティ制約が回避される（CVE-2026-24733）
• 証明書の失効確認処理が回避される（CVE-2026-24734）

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。

CVE-2025-66614、CVE-2026-24733

• Apache Tomcat 11.0.15
• Apache Tomcat 10.1.50
• Apache Tomcat 9.0.113

• Apache Tomcat Native 2.0.12
• Apache Tomcat Native 1.3.5
• Apache Tomcat 11.0.18
• Apache Tomcat 10.1.52
• Apache Tomcat 9.0.115