Multiple Apache Tomcat Vulnerabilities Let Attackers Trigger DoS Attacks
2025/07/09 CyberSecurityNews — Apache が発表したのは、Tomcat の3件の深刻なサービス拒否 (DoS) 脆弱性への対応であり、それを放置すると、攻撃者による Web アプリケーションおよびサービスの妨害にいたる可能性のあると警告している。これらの脆弱性 CVE-2025-52434/CVE-2025-52520/CVE-2025-53506 が影響を及ぼす範囲は、Apache Tomcat のバージョン 9.0.0.M1〜9.0.106 となる。HTTP/2 プロトコル/ファイル・アップロード・メカニズム/ストリーム処理機能など、さまざまな攻撃ベクターを通じて、これらの脆弱性が悪用される可能性があるという。
主な要点
- CVE-2025-52434/CVE-2025-52520/CVE-2025-53506 は、Apache Tomcat 9.0.0.M1 〜 9.0.106 に影響を及ぼし、リモートからのサービス拒否攻撃を許容する。
- APR/Native コンポーネント/ファイル・アップロードの整数オーバーフロー/過剰な HTTP/2 ストリーム生成といったベクターが存在する。
- すべての脆弱性は、適切な検証とリソース制限の実装により、それぞれのコミットを通じて修正された。
- エクスプロイトは認証を必要としないため、バージョン 9.0.107 への速やかなアップグレードが必要である。
これらの脆弱性のあるバージョンを使用している組織は、Apache Tomcat のバージョン 9.0.107 へ向けて速やかにアップグレードし、サービス中断の防止を図るべきである。
HTTP/2 および APR/Native の脆弱性:CVE-2025-52434
CVE-2025-52434 は、APR/Native コネクタと併用される Apache Tomcat の、 HTTP/2 実装に関する深刻な脆弱性である。この脆弱性を悪用する攻撃者は、HTTP/2 プロトコル処理メカニズムの欠陥を突くことで、サービス拒否状態を引き起こせるという。
パフォーマンス向上のためにネイティブ・ライブラリを統合する APR/Native コネクタは、不正な形式または過剰な HTTP/2 リクエスト処理時に、リソース枯渇攻撃を受けやすくなる。
Tomcat のセキュリティ・チームはコミット 8a83c3c4 により、HTTP/2 接続の検証とリソース管理を強化した。
HTTP/2 を有効化した APR/Native コネクタを使用するシステムは、未認証のリモート攻撃者から攻撃される可能性があるため、アップデートを優先的に適用すべきである。この修正には、接続ライフサイクル管理の厳格化と、境界チェックの強化が取り込まれている。
ファイルアップロードの整数オーバーフロー:CVE-2025-52520
Apache Tomcat のファイル・アップロード処理機構には、整数オーバーフローの脆弱性 CVE-2025-52520 が存在する。細工された Content-Length ヘッダを取り込んだ、悪意の multipart/form-data リクエストを生成する攻撃者は、整数オーバーフローの脆弱性を突いてファイル・サイズ制限を回避し、メモリ枯渇を引き起こす可能性を手にする。
この脆弱性は、サーブレット・コンテナ を介して、ファイル・アップロードを処理するアプリケーションに影響を及ぼす。
Tomcat のセキュリティ・チームはコミット 927d66fb により、入力検証と整数境界チェックを強化した。この修正により、maxRequestSize / maxFileSize パラメータの事前検証が可能になるため、メモリの無制限割り当てが防止される。
ファイル・アップロード機能を持つ Web アプリケーションは、多層防御の一環として、アプリケーション・レベルでの検証レイヤーも実装すべきだ。
過剰な HTTP/2 ストリーム処理:CVE-2025-53506
脆弱性 CVE-2025-53506 を悪用する攻撃者は、単一のコネクション内で過剰な HTTP/2 ストリームを生成することで、Apache Tomcat サーバを過負荷状態に陥れる可能性を手にする。
この攻撃ベクターは、HTTP/2 の多重化機能を悪用し、単一の TCP 接続から大量のストリームを同時に生成するものだ。悪意のクライアントが多数のストリームを短時間で作成することで、メモリ/処理のリソース枯渇が発生する可能性がある。
Tomcat のセキュリティ・チームはコミット 43477293 において、最大同時ストリーム数の制限とリソース管理ポリシーを実装した。
この修正により、接続ごとの maxConcurrentStreams パラメータが導入され、制限に達しそうな場合には、段階的な性能低下 (グレースフル・デグラデーション) を適用するメカニズムが追加された。
ネットワーク管理者にとって必要なことは、このパラメータに適切な値を設定し、HTTP/2 接続パターンを監視して、不正使用を検出することである。
| CVEs | Description | Severity |
| CVE-2025-52434 | Denial-of-Service vulnerability in HTTP/2 implementation used with APR/Native connector. | Important |
| CVE-2025-52520 | Integer overflow vulnerability in file upload handling mechanism. | Important |
| CVE-2025-53506 | Denial-of-Service through excessive HTTP/2 stream creation. | Important |
影響を受ける Apache Tomcat のバージョンを使用する組織は、バージョン 9.0.107 への速やかなアップグレードと、セキュリティ・コンフィグの再確認を行い、これらの深刻な脆弱性の緩和を図るべきである。
Apache Tomcat の3件の脆弱性が FIX しました。DoS 攻撃によるサービス停止を引き起こされる可能性があるため、注意が必要とのことです。認証を必要としない攻撃が可能であるため、早急なアップデート対応が強く求められると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Tomcat で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.