このドキュメントは2025 年 9 月 5 日にリリースされた Tomcat 11.0.11 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* Tomcat はログメッセージ内の ANSI エスケープシーケンスをエスケープしていませんでした。Tomcat が Windows 上のコンソールで実行されており、そのコンソールが ANSI エスケープシーケンスをサポートしている場合、攻撃者は特別に細工された URL を使用して ANSI エスケープシーケンスを注入し、コンソールやクリップボードを操作して、管理者に攻撃者が制御するコマンドを実行させようとすることが可能でした。既知の攻撃経路は確認されていませんが、他のオペレーティングシステムでもこの攻撃が成立する可能性があります。(CVE-2025-55754)
* バグ 60013 の修正により、書き換えられた URL がデコードされる前に正規化されるというリグレッションが発生していました。これにより、クエリパラメータを URL に書き換えるリライトルールにおいて、攻撃者がリクエスト URI を操作し、/WEB-INF/ や /META-INF/ の保護を含むセキュリティ制約を回避できる可能性が生じました。さらに、PUT リクエストが有効になっている場合、悪意のあるファイルがアップロードされ、リモートコード実行につながる可能性があります。PUT リクエストは通常、信頼されたユーザーに限定されており、URI を操作するリライトと併用して有効化される可能性は低いと考えられます。(CVE-2025-55752)
不具合修正(Catalina)
* PersistentValve 使用時にセッション FileStore 実装で発生していた同時アクセスの問題が修正され、セッションが失われる不具合が解消されました。(69781)
* RewriteValve における QSA および QSD フラグの処理が修正されました。
不具合修正(Coyote)
* HPACK の整数デコード時に発生する可能性があったオーバーフロー問題に対する追加修正が行われました。(69762)
* PEMFile が処理に失敗した場合でも、適切なログを出力した上で OpenSSL に鍵が渡されるようになりました。
* PEMFile に新しい ML-DSA 鍵アルゴリズムが追加され、鍵の読み込みに失敗した際のレポートが改善されました。
* 待機中のスレッドが意図せず起こされることによって発生する可能性があったネットワーク操作の早期タイムアウトが修正されました。
不具合修正(Cluster)
* NonBlockingCoordinator におけるリーダー選出時の意図せずスレッドが再開される問題が修正されました。
* RpcChannel によるメッセージ送信時の意図せずスレッドが再開される問題が修正されました。
機能追加・改良(Catalina)
* 不要なパッケージが catalina-deployer.jar から削除されました。
* WebResource のロック処理がリファクタリングされ、新しい KeyedReentrantReadWriteLock が使用されるようになりました。
機能追加・改良(Other)
* ログ出力の見直しが行われ、例外が発生した際のエラーや警告のログにおいて、従来の例外メッセージのみではなく、フルスタックトレースと例外メッセージがデフォルトで含まれるようになりました。
* ログフォーマッターにエスケープ処理が追加され、JSON フォーマッターとの整合性が取られるようになりました。
* Checkstyle が 11.0.0 に更新されました。
詳細は以下をご覧ください。
https://tomcat.apache.org/tomcat-11.0-doc/changelog.html#Tomcat_11.0.11_(markt)