Apache Tomcat Vulnerabilities Let Attackers Trigger Dos Attack
2025/08/14 CyberSecurityNews — Apache Tomcat の HTTP/2 実装に、深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、標的とする Web サーバに対して、壊滅的なサービス拒否 (DoS) 攻撃を仕掛けることが可能だ。Made You Reset と呼ばれる攻撃を引き起こす、この脆弱性 CVE-2025-48989 は、広く使用される Java サーブレット・コンテナの複数のバージョンに影響を及ぼし、世界中の Web アプリケーションに深刻なリスクをもたらすものだ。
このセキュリティ脆弱性が影響を及ぼす範囲は、Apache Tomcat バージョン 11.0.0-M1〜11.0.9/10.1.0-M1〜10.1.43/9.0.0.M1〜9.0.107 であり、深刻度は High と評価されている。
主なポイント
- Apache Tomcat の HTTP/2 脆弱性であり、攻撃者はサーバ・クラッシュを可能にする。
- Tomcat バージョン 9.0.0〜11.0.9 に影響し、世界中の数千台の Web サーバに影響を与える可能性がある。
- 悪用を防ぐためには、速やかなアップグレードが必要である。
なお、サポートが終了した古いバージョンも、この脆弱性を抱えている可能性があるため、注意が必要となる。
この脆弱性は、テルアビブ大学のセキュリティ研究者である Gal Bar Nahum/Anat Bremler-Barr/Yaniv Harel により特定され、2025年8月13日の時点で、その調査結果が公表された。
Apache Tomcat における HTTP/2 の悪用
この Made You Reset 攻撃は、Tomcat の HTTP/2 プロトコル実装の脆弱性を悪用するが、この中でも、接続リセット・メカニズムを標的とするものだ。
攻撃が成功すると OutOfMemoryError が表示され、標的サーバは利用可能なメモリリソースを使い果たし、正当なリクエストに応答しなくなる。
Tomcat における HTTP/2 ストリームの、リセットと接続の管理方法に、この脆弱性は存在する。悪意の HTTP/2 リクエストを作成する攻撃者は、サーバに対して過剰なメモリ・リソースを割り当てさせ、適切に解放させないようにする。
このメモリ・リークの動作は、繰り返して発生する可能性があり、最終的にはサーバが利用できるメモリ・プールを圧倒し、サービス拒否状態を引き起こす可能性を得る。
この攻撃ベクターは、単一の TCP 接続で複数のストリームを同時に処理できる、 HTTP/2 多重化の機能を悪用するものだ。
前述のストリーム・リセット・フレームと接続状態管理を操作する攻撃者は、Tomcat に多数の半接続や不完全なストリーム状態を維持させ、リソース枯渇を引き起こす可能性を手にする。
| Risk Factors | Details |
| Affected Products | – Apache Tomcat 11.0.0-M1 to 11.0.9- Apache Tomcat 10.1.0-M1 to 10.1.43- Apache Tomcat 9.0.0.M1 to 9.0.107- Older EOL versions (potentially affected) |
| Impact | Denial of Service (DoS) attack |
| Exploit Prerequisites | – HTTP/2 protocol enabled on target server- Network access to send malicious HTTP/2 requests- Ability to craft HTTP/2 stream reset frames- No authentication required |
| Severity | High |
緩和策
すでに Apache Software Foundation は、パッチ適用版をリリースし、この深刻な脆弱性に対処している。Tomcat の影響を受けるバージョンを使用している組織にとって必要なことは、Apache Tomcat 11.0.10/10.1.44/9.0.108 以降のバージョンへと、速やかにアップグレードすることだ。
これらのアップデートには、HTTP/2 実装の修正が含まれているため、Made You Reset 攻撃ベクターを阻止できる。
システム管理者にとって必要なことは、特に HTTP/2 接続を受け入れる公開 Web アプリケーションに対して、これらのアップデートを優先的に適用することだ。
この脆弱性の深刻度は High であり、悪用が成功した場合には、サービスの可用性が損なわれ、業務運営に深刻な影響が生じるという。
セキュリティ・チームにとって強く推奨されるのは、インフラ全体にパッチを適用している間に、Tomcat インストールにおける異常なメモリ消費パターンを監視し、レート制限や接続スロットリングなどの、ネットワーク・レベルの追加保護を実装することだ。それにより、潜在的な攻撃を軽減する必要がある。
Apache Tomcat の HTTP/2 実装に、深刻な脆弱性が存在するとのことです。原因となるのは、HTTP/2 のストリームをリセットする処理や、接続の管理の方法に不備がある点です。この仕組みを悪用する攻撃者は、サーバに大量のメモリを割り当てさせ、解放されない状態を作り出すと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Tomcat で検出も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.