Apache Tomcat Security Update Fixes DoS and Rewrite Rule Bypass Flaws
2025/04/29 SecurityOnline — Apache Software Foundation が発表したのは、広く使用されている OSS Java サーブレット・コンテナである Apache Tomcat の、複数のバージョンに影響を与える2 つの脆弱性に対処する重要なアップデートのリリースである。これらの脆弱性 CVE-2025-31650/CVE-2025-31651 に対して、パッチを適用せずに放置すると、サービス拒否状態やセキュリティ・ルールのバイパスにつながる可能性がある。
CVE-2025-31650:無効な HTTP 優先度ヘッダーによるサービス拒否
脆弱性 CVE-2025-31650 (High) は、無効な HTTP 優先度ヘッダーを処理する際の、不適切なエラー処理に関連するものだ。アドバイザリには、「一部の無効な HTTP 優先度ヘッダーに対する不適切なエラー処理により、失敗したリクエストのクリーンアップが不完全となり、メモリリークが発生した」と記されている。このような不正なリクエストが大量に発生する状態で、時間が経過していくと、OutOfMemoryException が発生し、最終的にはサービス拒否 (DoS) につながる可能性がある。
影響を受けるバージョンは、以下のとおりである:
- Apache Tomcat 11.0.0-M2 〜 11.0.5
- Apache Tomcat 10.1.10 〜 10.1.39
- Apache Tomcat 9.0.76 〜 9.0.102
ユーザーに対して強く推奨されるのは、以下のバージョンへと速やかにアップデートし、このリスクを軽減することだ:
- Apache Tomcat 11.0.6 以降
- Apache Tomcat 10.1.40 以降
- Apache Tomcat 9.0.104 以降
当初は、Apache Tomcat 9.0.103 により修正が行われたが、アドバイザリに記載されるように、9.0.103 リリース・キャンディデイトは投票を通過しなかった。そのため、正式な修正プログラムを入手するためには、バージョン 9.0.104 以降へのアップグレードが必要となる。
CVE-2025-31651:書き換えルールのバイパス
2つ目の脆弱性 CVE-2025-31651 は、深刻度が低いとされているが、特定のコンフィグにおいてセキュリティ・リスクとなる。この脆弱性は、特別に細工されたリクエストにより、一部の書き換えルールがバイパスされるという状況を引き起こされる。これらの書き換えルールが、セキュリティ制約の適用に不可欠である場合には、この脆弱性を悪用する攻撃者により、一連の保護がバイパスされる可能性が生じる。
影響を受けるバージョンは、以下のとおりである:
- Apache Tomcat 11.0.0-M1 ~ 11.0.5
- Apache Tomcat 10.1.0-M1 ~ 10.1.39
- Apache Tomcat 9.0.0.M1 ~ 9.0.102
ユーザーに対して強く推奨されるのは、以下のバージョンへと速やかにアップデートし、このリスクを軽減することだ:
- Apache Tomcat 11.0.6 以降
- Apache Tomcat 10.1.40 以降
- Apache Tomcat 9.0.104 以降
Apache Tomcat に新たな脆弱性が発見されました。なお、同ツールでは、3月以降から別の脆弱性 CVE-2025-24813 の悪用が確認され、CISA KEV カタログにも登録されています。ご利用のチームは、十分にご注意ください。よろしければ、以下の脆弱性 CVE-2025-24813 関連記事も、Apache Tomcat で検索と併せて、ご参照ください。
2025/04/03;CVE-2025-24813 :ハッカーの高度な戦術を解明
2025/04/01:CVE-2025-24813 が CISA KEV に登録
2025/03/21:CVE-2025-24813:検出された悪用と問題点の整理
2025/03/17:CVE-2025-24813:悪用と戦術変更への備え
2025/03/01:CVE-2025-24813:積極的な悪用と PoC の提供
IoT OT Security News 
You must be logged in to post a comment.