このドキュメントは2025 年 7 月 4 日にリリースされた Tomcat 10.1.43 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* 一部の稀なマルチパートアップロード構成において、整数オーバーフローの脆弱性により、サイズ制限を回避されて DoS (サービス拒否) 状態を引き起こす可能性がありました。(CVE-2025-52520)
* HTTP/2 クライアントが初期設定フレーム (同時接続ストリーム数の上限を減らす) を適切に応答しなかった場合、制御されないリソース消費が発生し、DoS (サービス拒否) 状態に陥る可能性がありました。(CVE-2025-53506)
不具合修正(Catalina)
* 組み込み Web アプリケーションをプログラム的に構成する際に、アプリケーションで設定された welcome ファイルがデフォルトを上書きするよう修正されました。
* デフォルトのサーブレットが、コンテンツ長が既知であり、まだ書き込みが行われておらず、Writer が使用されている場合に、Content-Length を設定できるようになりました。
* CVE-2025-49125 の修正によるリグレッションが修正されました。このリグレッションにより、ファイルセパレータで終わるパスで Web アプリケーションルートの下にマウントされた PreResources および PostResources にアクセスできなくなっていました。(69717)
* multipart アップロードでファイル以外のパートが、クエリ文字列のパラメータよりも先に処理される場合に、maxParameterCount の適用値が想定よりも小さくなる問題が修正されました。(69731)
* multipart リクエストのサイズ追跡が、FileUpload の long 型の使用に合わせて調整されました。
不具合修正(Coyote)
* maxPartCount のデフォルト値が 10 から 50 に増加されました。また、DoS リスクを回避しつつ multipart アップロードをサポートするためのメモリ要件に関するドキュメントが更新されました。(69710)
* Content-Length ヘッダーを含む場合に、パディングを含む HTTP/2 のデータフレームを正しく処理するよう修正されました。(69713)
* HTTP/2 リクエストに対する統計情報を正しく収集し、1 つのリクエストが重複してカウントされないように修正されました。
* keepAliveCount の JMX 値が修正されました。また、JMX に useVirtualThreads の値も追加されました。
* HTTP/2 で任意の証明書検証を使用している場合の誤った警告が削除されました。また、Web アプリケーションが HTTP/2 または TLS 1.3 (JSSE 実装) で CLIENT-CERT を使用しようとしたときの警告メッセージが改善されました。(69728)
* HTTP/2 接続の初期制限を設定する際に、その制限をより早い段階で適用するようになりました。
機能追加・改良(Jasper)
* EL 文法から IDENTIFIER 用の IMPL_OBJ_START が削除されました。
* EL 文法から未使用の INSTANCEOF および FUNCTIONSUFFIX の定義が削除されました。
機能追加・改良(Web applications)
* ドキュメント: WebDAV や HTTP PUT リクエストなどを通じて Web アプリケーションへの書き込みアクセスを有効にする際のセキュリティ上の考慮事項について、より明確なガイダンスが追加されました。
* ドキュメント: セキュリティ考慮事項のページに、リバースプロキシに関するセクションが追加されました。
機能追加・改良(Other)
* UnboundID がバージョン 7.0.3 に更新されました。
* Checkstyle がバージョン 10.25.1 に更新されました。
* フランス語翻訳の改善が行われました。
* 日本語翻訳の改善が行われました。
詳細は以下をご覧ください。
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.43_(schultz)
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.43