このドキュメントは 2022 年 01 月 20 日にリリースされた Tomcat 10.0.16 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
Tomcat 10.0.15 はリリースされませんでした。
10.0.16
不具合修正(Coyote)
* HTTP/2 サーバプッシュが動作しなくなる問題 65785 に対する修正でのリグレッションが修正されました。
機能追加・改良(Other)
Java 11 でビルドを行うように切り替えが行われ、Java 8 をターゲットする場合は –release を指定するようになりました。一旦、現在サポートされている全てのブランチにバックポートされれば、開発者が取り組まなければならない Java のバージョン数が削減されます。
10.0.15
脆弱性修正
* ローカルでの権限上昇 CVE-2022-23181: CVE-2020-9484 バグの修正により、検査時間、使用時間の脆弱性が入り込み、このために、ローカルの攻撃者は Tomcat プロセスを使用しているユーザの権限でアクションを実行することができました。この問題は、Tomcat が FileStore を使ってセッションを永続化するよう設定された場合のみ発現します。この問題が修正されました。(CVE-2022-23181)
不具合修正(Catalina)
* DataSourceUserDatabase にさらにロッキングが追加され、並列の変更に対する保護が改善されました。
* 入力ストリームと出力ストリームにリサイクルのチェック isReady が追加されました。これは、facade がリサイクルされた時により有用な ISE を提供しようと試みます。
* ファイルベースの永続的ストレージを使用している場合の、セッションストレージの位置の計算がより堅牢になりました。
不具合修正(Coyote)
* リクエストがボディを含んでいる場合の HTTP/1.1 アップグレードのサポートが実装されました。ボディの許される最大サイズは maxSavePostSize で設定されます。(65726)
* 65454 に対する修正でなくなっていた minSpareThreads の事前起動が元に戻されました。
* 以前の 65714 に対する修正が取り消され、より包括的な修正が実装されました。
* Servlet コンテナの他のコンテナスレッドへのディスパッチの際に、最初の IO リスナ通知が送付されていませんでした。この問題が修正されました。(65757)
* 65757 に対する修正が展開され、単にプロセスがコンテナスレッドで処理が発生しているかをチェックするだけでなく、このリクエスト/レスポンスに現在割り当てられているコンテナスレッドで発生しているかどうかがチェックされるようになりました。
* 10.0.14 で追加された RST フレームの順序付けの修正が改善され、デフォルトでない設定のシステムでの潜在的なデッドロックが回避されました。
* HTTP/2 使用時の HTTP ヘッダの追加の検証が行われるようになりました。(65785)
* Connector や Endpoint が一時停止した場合、新しい接続や既存の接続上の新しいリクエストだけが停止し、進行中のリクエストは完了まで実行が継続されることが保証されるようになりました。
* NioEndpoint や Nio2Endpoint が停止する時、プールされたチャンネルに付随する ByteBuffer インスタンスが明示的に解放されるようになりました。
* 不正なクッキーヘッダのログ出力の範囲が狭められ、クッキーヘッダ全体ではなく、不正なクッキーそのものだけとなりました。
不具合修正(Jasper)
* リソース文字列に使用された名前のタイポにより発生していた、PropertyNotWritableExceptions のメッセージが欠けていることがあった問題が修正されました。(65724)
不具合修正(WebSocket)
* メッセージの書き込みが、メッセージを全部書き終える前にタイムアウトした場合の WebSocket 接続のクローズの処理が改善されました。(65763)
機能追加・改良(Coyote)
* PBES2 を使って暗号化された鍵を使用する証明書のサポートが追加されました。(65767)
* String が有効な HTTP トークンかどうかのテストがリファクタリングされました。
機能追加・改良(Jasper)
* コンパイラのソースや JSP コンパイルのコンパイラターゲットとして Java 18 を 18 という値を使って指定できるようになりました。この値をサポートしていないバージョンの Eclipse JDT コンパイラで使用した場合には、警告が出力され、デフォルトが使用されます。
機能追加・改良(WebSocket)
* POJO WebSocket エンドポイントに、アプリケーションが HTTP 接続を WebSocket にアップグレードすることを選択することができる、プログラマティックアップグレードのサポートが追加されました。
機能追加・改良(Other)
* OWB モジュールが Apache OpenWebBeans 2.0.25 に更新されました。
* CXF モジュールが Apache CXF 3.5.0 に更新されました。
* 中国語翻訳が改善されました。
* フランス語翻訳が改善されました。
* 日本語翻訳が改善されました。
* 韓国語翻訳が改善されました。
* SpotBugs が 4.5.2 に更新されました。
* NSIS インストーラが 3.08 に更新されました。
* UnboundID が 6.0.3 に更新されました。
* CheckStyle が 9.2.1 に更新されました。
* BND が 6.1.0 に更新されました。
* OSGI アノテーションが 1.1.1 に更新されました。
詳細は以下をご覧ください。
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.16
https://tomcat.apache.org/tomcat-10.0-doc/changelog.html#Tomcat_10.0.16_(markt)