公開日:2025/05/08 最終更新日:2025/05/08

JVNVU#93256936
Apache Tomcatにおける複数の脆弱性(CVE-2025-31650、CVE-2025-31651)

概要

The Apache Software Foundationから、Apache Tomcatの脆弱性(CVE-2025-31650、CVE-2025-31651)に対するアップデートが公開されました。

影響を受けるシステム

CVE-2025-31650

  • Apache Tomcat 11.0.0-M2から11.0.5まで
  • Apache Tomcat 10.1.10から10.1.39まで
  • Apache Tomcat 9.0.76から9.0.102まで
CVE-2025-31651
  • Apache Tomcat 11.0.0-M1から11.0.5まで
  • Apache Tomcat 10.1.0-M1から10.1.39まで
  • Apache Tomcat 9.0.0.M1から9.0.102まで

詳細情報

The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。

  • 不正なHTTP Priorityヘッダのエラー処理が不適切なため、クリーンアップが不完全となり、メモリリークが発生する(CVE-2025-31650)
  • 特定のリライトルール設定が、細工されたリクエストによってバイパスされる(CVE-2025-31651)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 大量の細工されたリクエストを処理することによりOutOfMemoryExceptionが発生し、サービス運用妨害(DoS)状態を引き起こされる(CVE-2025-31650)
  • 問題となるリライトルール設定を使ってセキュリティ制約を実装している場合、セキュリティ制約をバイパスされる(CVE-2025-31651)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。

  • Apache Tomcat 11.0.6およびそれ以降
  • Apache Tomcat 10.1.40およびそれ以降
  • Apache Tomcat 9.0.104およびそれ以降

ベンダ情報

ベンダ リンク
The Apache Software Foundation CVE-2025-31650 Apache Tomcat - DoS via invalid HTTP prioritization header
CVE-2025-31651 Apache Tomcat - Rewrite rule bypass
Fixed in Apache Tomcat 11.0.6
Fixed in Apache Tomcat 10.1.40
Fixed in Apache Tomcat 9.0.104

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia