Apache Tomcat の複数の脆弱性が FIX:サービス拒否と認証バイパスの恐れ

Apache Tomcat Vulnerabilities Allow Authentication Bypass and DoS Attacks

2025/06/17 CyberSecurityNews — Apache が公表したのは、Tomcat Web サーバに存在する複数の深刻なセキュリティ脆弱性に関する情報である。これらの脆弱性の内訳は、サービス拒否 (DoS) 攻撃を可能にする深刻度の高い脆弱性が2件と、認証バイパスを可能にする深刻度が中程度の脆弱性が1件である。脆弱性 CVE-2025-48976CVE-2025-48988CVE-2025-49124CVE-2025-49125 が影響を及ぼす範囲は、Tomcat のバージョン 9.0.x 〜 11.0.x シリーズであり、それらを利用する、世界中の数百万の Web アプリケーションに影響が生じている。

これらの脆弱性は、セキュリティ研究者である Mark Thomas により、2025年6月16日に報告されたものだ。すでに Apache は、すべてのバージョン・ブランチに対してパッチをリリースし、この問題に対処している。

CVE-2025-48976: multipart ヘッダーの悪用によるメモリ枯渇

脆弱性 CVE-2025-48976 は、Tomcat の multipart リクエスト処理に不可欠な、Apache Commons FileUpload コンポーネントにおける、固定メモリ割り当て制限に起因する。

問題を引き起こすパッチ適用前のバージョンでは、このライブラリは、multipart リクエスト内の個々のパート・ヘッダーに対して 10KB の制限をハードコードしていた。この制限値に近いヘッダーを持つ、多数のパートを取り込んだリクエストを作成する攻撃者は、パート数に比例する過剰なメモリ割り当てを、Tomcat に強いる可能性を手にしていた。

たとえば、1,000 個のパートを含むリクエストは、ヘッダーだけで約 10MB のメモリを消費し、メモリ不足エラーやサービス中断を引き起こす可能性が生じる。

この脆弱性の影響が及ぶ範囲は、Tomcat のバージョン 9.0.0.M1~9.0.105/10.1.0-M1~10.1.41/11.0.0-M1~11.0.7 となる。

CVE-2025-48988:multipart アップロードでのリソース枯渇

脆弱性 CVE-2025-48988 は、Tomcat がサイズ制限を適用する際に、リクエスト・パラメータとmultipart パートを区別できないという問題を引き起こすものだ。

標準パラメータとは異なり、multipart パートに取り込まれるものには、リクエスト処理中もメモリ上に保持されるヘッダーがある。

各パートのペイロードはでは、ヘッダーが約 500 Byte 消費する計算となるが、多数のパート (例:10,000パート) を取り込んだリクエストの送信を、攻撃者に許す可能性がある。それにより、リクエストごとに約 5MBのメモリが割り当てられ、急速なメモリ枯渇が発生する。

この脆弱性の深刻度は、Tomcat が同時接続をデフォルトで処理することで、さらに深刻化する。つまり、攻撃者は、並列リクエストを通じて影響を拡大できることになる。

CVE-2025-49124:Windows インストーラのサイドローディング

脆弱性 CVE-2025-49124 は、Tomcat Windows インストーラによる、安全が確保されない icacls.exe 呼び出しを引き起こす。なお、この icacls.exe は、ACL (Access Control Lists) を変更するためのユーティリティである。

具体的に言うと、”C:\Windows\System32\icacls.exe” へのフルパスが省略された場合に、このインストーラは、PATH 環境変数の操作が脆弱になる。それにより、PATH の上位ディレクトリへの書込み権限を持つ攻撃者であれば、悪意のicacls.exe を配置し、Tomcat のセットアップ中に実行できるという。

この権限昇格ベクターにより、サービス・コンフィグの不正な変更や、永続化メカニズムを許す可能性がある。

CVE-2025-49125:リソース・マウントにおけるセキュリティ制約のバイパス

脆弱性 CVE-2025-49125 を悪用する攻撃者は、Webアプリケーションのルート外でコンフィグされた、PreResources/PostResources の認証/承認の制御をバイパスできる。

この問題は、Tomcat がセキュリティ・ポリシーを適用する前に、リソース・パスを正規化できないことに起因し、URL 操作攻撃が可能になる。

速やかなパッチ適用が必要

ユーザー組織にとって必要なことは、このアップデートを優先し、一連の脆弱性に対処することだ。Apache Software Foundation は、すべての影響を受けるバージョン・ブランチを修正する、Apache Tomcat 11.0.8/10.1.42/9.0.106 をリリースしている。

このアップデートにより、コネクタ設定において、maxPartHeaderSize (デフォルト 512 Byte) および、maxPartCount (デフォルト 10 part) パラメータといった、設定を可能にする制限が導入される。

システム管理者にとって必要なことは、Tomcat のインストールを確認し、server.xml ファイルのコンフィグ変更を実施することだ。具体的には、アプリケーションの機能を維持しながら、リソース枯渇攻撃を防ぐために、コネクタ・パラメータを調整する必要がある。

Tomcat の multipart 処理に起因する、リソース枯渇の脆弱性が FIX しましたが、運用中の環境への影響は、パッチ適用だけでは済みそうもないですね。また、Windows インストーラのパス処理に起因する、サイドローディングの脆弱性も危険そうです。ご利用のチームは、ご注意ください。よろしければ、Tomcat で検索も、ご参照ください。