公開日:2025/05/08 最終更新日:2025/05/08
JVNVU#93256936
Apache Tomcatにおける複数の脆弱性(CVE-2025-31650、CVE-2025-31651)
The Apache Software Foundationから、Apache Tomcatの脆弱性(CVE-2025-31650、CVE-2025-31651)に対するアップデートが公開されました。
CVE-2025-31650
- Apache Tomcat 11.0.0-M2から11.0.5まで
- Apache Tomcat 10.1.10から10.1.39まで
- Apache Tomcat 9.0.76から9.0.102まで
- Apache Tomcat 11.0.0-M1から11.0.5まで
- Apache Tomcat 10.1.0-M1から10.1.39まで
- Apache Tomcat 9.0.0.M1から9.0.102まで
The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。
- 不正なHTTP Priorityヘッダのエラー処理が不適切なため、クリーンアップが不完全となり、メモリリークが発生する(CVE-2025-31650)
- 特定のリライトルール設定が、細工されたリクエストによってバイパスされる(CVE-2025-31651)
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 大量の細工されたリクエストを処理することによりOutOfMemoryExceptionが発生し、サービス運用妨害(DoS)状態を引き起こされる(CVE-2025-31650)
- 問題となるリライトルール設定を使ってセキュリティ制約を実装している場合、セキュリティ制約をバイパスされる(CVE-2025-31651)
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。
- Apache Tomcat 11.0.6およびそれ以降
- Apache Tomcat 10.1.40およびそれ以降
- Apache Tomcat 9.0.104およびそれ以降