このドキュメントは2025 年 8 月 7 日にリリースされた Tomcat 10.1.44 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* Tomcat の HTTP/2 実装には、「made you reset」攻撃に対する脆弱性がありました。このサービス拒否は、通常 OutOfMemoryError として現れます。(CVE-2025-48989)
不具合修正(Catalina)
* 1つ以上の JAR ファイルを含むパックされた WAR を使用する場合のアーカイブインデックスのブルームフィルターの設定が修正されました。
不具合修正(Coyote)
* 同期リクエストの後に HTTP/1.1 を使用する際、keep-alive タイムアウトを設定するための呼び出しが抜けていた問題が修正されました。これは AJP では存在していました。(69748)
* HPACK による整数のデコード中に発生する可能性のあるオーバーフローが修正されました。HPACK でデコードされた整数の最大許容値は Integer.MAX_VALUE です。(69762)
* HTTP/2 のオーバーヘッドに関するドキュメント (特にコードコメント) が更新され、PRIORITY フレームの廃止が反映されるとともに、ストリームのリセットが常にオーバーヘッドの増加を引き起こすことが明確にされました。
* 整数の HPACK デコードに関する追加のオーバーフローが修正されました。(69762)
不具合修正(WebSocket)
* WebSocket クライアント接続の拡張機能処理が、WebSocket サーバ接続と合わせられました。WebSocket クライアントは、エンドポイントがオープニングハンドシェイクで要求した拡張機能を、クライアント自身がその拡張機能をサポートしている場合にのみ含めるようになりました。
不具合修正(Web applications)
* Manager および Host Manager の Web アプリケーションには、ROOT Web アプリケーションの favicon ファイルではなく、専用の favicon ファイルが提供されるようになりました。ROOT Web アプリケーションの favicon が存在しない場合や、全く異なるものを表している可能性があるためです。
機能追加・改良(Cluster)
* DeltaManager に enableStatistics 設定属性が追加され、デフォルトが true に設定されました。
機能追加・改良(Other)
* Checkstyle がバージョン 10.26.1 に更新されました。
* フランス語翻訳が改善されました。
* 日本語翻訳が改善されました。
詳細は以下をご覧ください。
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.44_(schultz)
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.44