1. ホーム /
  2. Tomcat /
  3. Tomcat 10.1.52 のリリースノート

Tomcat 10.1.52 のリリースノート

このドキュメントは 2026 年 1 月27 日にリリースされた Tomcat 10.1.52 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。


本リリースノートには Tomcat バージョン 10.1.52 および 10.1.51 のリリース情報が記載されています。10.1.51 は単独ではリリースされていません。

10.1.52

脆弱性修正

* OCSP を使用する場合、Tomcat の OpenSSL を使用したFFM統合では、OCSP レスポンスの検証および有効性 (フレッシュネス) の確認が完全に実施されていませんでした。その結果、証明書の失効確認が回避される可能性があります。(CVE-2026-24734)

不具合修正(Coyote)

* Tomcat のシャットダウン時に発生する Tomcat Native のクラッシュに対する前回の修正に含まれていた不具合が修正され、重大なメモリリークが発生していた問題が修正されました。(69936)

10.1.51

不具合修正(Catalina)

* リソースキャッシュが有効な Web アプリケーション内から ClassLoader.getResource().getContent() を呼び出した際、対象リソースが JAR ファイル内にある場合に失敗していた長年のリグレッションに対して、追加修正が行われました。(69623)

* CsrfPreventionFilter において、URL に複数の CSRF トークンが追加されないよう修正されました。

* content-length ヘッダーが設定されていない場合でも、HTTP/2 リクエストのリクエストパラメータが正しく解析されるようになりました。(69918)

* Rewrite Valve において URL エンコードエラーが発生した場合、置換文字を黙って使用するのではなく、例外がスローされるようになりました。

* リクエスト終了時のアクセスログパターンに関するリグレッションが修正され、誤ってリクエスト開始時刻が記録されていた問題が修正されました。(69932)

不具合修正(Coyote)

* TLS が有効なカスタムコネクタ使用時に発生する可能性があった NPE が回避されるように修正されました。

* FFM コードで暗号スイートリストを設定した際の警告が、tomcat-native の変更内容と一致するよう改善されました。

* ソケットクローズ直後に TLS オブジェクトが解放されるようになり、メモリ効率が改善されました。(69910)

* SSLHostConfig における JSSE と OpenSSL の設定スタイルチェックが緩和され、信頼属性とそれ以外の属性で異なる設定スタイルを使用できる既存実装が反映されました。

* JSSE の TLS 実装で OpenSSLConf の設定要素を使用した場合の警告メッセージが改善されました。

* FFM 経由で OpenSSL を使用する場合、CA 証明書が設定されていない、かつ設定失敗もしていない場合には、CA 証明書欠如の警告が出力されなくなりました。

* LibreSSL 3.5 未満のバージョンとの互換性を確保するため、OpenSSL FFM コードが修正されました。

* Tomcat のシャットダウン時にクラッシュを引き起こす可能性があった、OpenSSLEngine リソースの同時解放および Tomcat Native ライブラリの終了が防止されるように修正されました。

不具合修正(Jasper)

* 69333 に対する前回修正で発生していたリグレッションが修正され、タグに対して必ず reuse() または release() が呼び出されるようになりました。(69333)

不具合修正(WebSocket)

* WebSocket セッションから取得した Writer または OutputStream がクローズされている状態で書き込みを試みた場合、Writer で要求され、OutputStream で強く推奨されているとおり、IllegalStateException ではなく IOException がスローされるようになりました。(69920)

機能追加・改良(Catalina)

* Tomcat Native 1.x および 2.x それぞれについて、最小バージョンおよび推奨バージョンを個別に設定できるようになりました。あわせて、Tomcat Native 1.x の最小および推奨バージョンは 1.3.4 に、Tomcat Native 2.x の最小および推奨バージョンは 2.0.12 に更新されました。

* Tomcat が提供する Authenticator に ssoReauthenticationMode が追加され、SSO Valve の requireReauthentication 属性を Authenticator ごとに上書きできるようになりました。

機能追加・改良(Coyote)

* OpenSSL と JSSE の TLS 実装間の設定整合性確保のため、SSLHostConfig の ciphers 属性に含まれる TLSv1.3 の暗号スイートは常に無視されるようになり、無視された場合は警告がログに出力されるようになりました。

* TLSv1.3 の暗号スイートを設定するための ciphersuite 属性が SSLHostConfig に追加されました。

* JSSE ベースの TLS コネクタに OCSP サポートが追加され、JSSE および OpenSSL ベースの TLS 実装の双方において、コネクタごとに OCSP の使用可否を設定できるようになりました。また、OpenSSL のチェック内容が JSSE と整合されました。

* OCSP チェックにおいて、失敗を致命的としないソフトフェイルがサポートされるようになりました。(デフォルトでは無効)

* OpenSSL ベースの TLS 実装使用時に、OCSP_basic_verify に渡される検証フラグを設定できるようになりました。

機能追加・改良(Cluster)

* mapSendOptions に人間が読める名前を使用できることが文書化され、channelSendOptions とドキュメント内容が整合されました。(62814)

機能追加・改良(Other)

* 内部フォークの Commons Pool が 2.13.1 に更新されました。

* 内部フォークの Commons DBCP が 2.14.0 に更新されました。

* Commons Daemon が 1.5.1 に更新されました。

* ByteBuddy が 1.18.3 に更新されました。

* UnboundID が 7.0.4 に更新されました。

* Checkstyle が 12.3.1 に更新されました。

* フランス語翻訳が改善されました。

* 日本語翻訳が改善されました。

* 中国語翻訳が改善されました。

* Tomcat Native が 2.0.12 に更新されました。

* GPG によるリリース成果物の署名を任意で無効化できるプロパティ「gpg.sign.files」が追加されました。

詳細は以下をご覧ください。

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.52_(schultz)

関連記事:

  1. Tomcat 10.1.50 のリリースノート
  2. Tomcat 10.1.13 のリリースノート
  3. Tomcat 10.1.12 のリリースノート
  4. Tomcat 10.1.15 のリリースノート