Tomcat 8.5.78 のリリースノート

このドキュメントは 2022 年 04 月 01 日にリリースされた Tomcat 8.5.78のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。

脆弱性修正

* 情報漏洩 CVE-2021-43980: Tomcat 10 で導入され、Tomcat 9.0.47 以降にバックポートされたブロック読み込みおよび書き込みの簡素化された実装には、長らく、トリガを引くのが非常に困難な並列性に関するバグがあり、Http11Processor インスタンスを共有するクライアント接続が、レスポンス全体または部分的なレスポンスが間違ったクライアントに受信されてしまう可能性がありました。この問題が修正されました。(CVE-2021-43980)

不具合修正(Coyote)

* 未知の設定フレームのログ出力が改善されました。(#487)

* Processor オブジェクトのリサイクル処理が改善され、さらに堅牢になりました。

不具合修正(Jasper)

* 関数が Class[] としてではなく String[] としてシリアライズされるようになりました。(65959)

不具合修正(Web applications)

* jsvc の –add-opens 設定が現在の Tomcat スクリプトに揃えられました。(65952)

* ドキュメント Web アプリケーションの AJP と HTTP/1.1 Connector の設定ページが修正され、どの属性が全ての Connector に適用可能で、どの属性が実装固有であるかが示されるようになりました。

機能追加・改良(Catalina)

* ErrorReportValveを使用して、特定のエラーコード及び例外タイプに対して静的な HTML 応答を指定する機能が追加されました。(41007)

* クレデンシャルの比較を定数時間の実装に切り替えることで、CredentialHandler の実装が強化されました。

* WebappClassLoaderBase.getResources() が事実上、無効化されました。これは、それが使われていなかったことと、何かが誤ってこのクラスローダをさらすとこのメソッドを使って Tomcat 内部へのアクセスが可能になってしまうことがその理由です。

機能追加・改良(Coyote)

* TLS バーチャルホストにオプションの証明書認証が設定されていて、かつ、それが含むコネクタも HTTP/2 をサポートするように設定されていた場合、HTTP/2 はオプションの証明書認証を許さないので、警告が出されるようになりました。(65975)

* TLS バーチャルホストが JSSE 実装を持つ TLS 1.3 用に設定されていて、かつ、Web アプリケーションが CLIENT-CERT 認証を行うよう設定されていた場合に警告が出されるようになりました。CLIENT-CERT 認証は、TLS 1.3 とともに使用する場合は post-handshake 認証 (PHA) を必要としますが、JSSE TLS 1.3 実装は PHA をサポートしていないからです。(65975)

機能追加・改良(Other)

* Commons Daemon が 1.3.0 に更新されました。

* Checkstyle が 10.0 に更新されました。

* SpotBugs が 4.6.0 に更新されました。

* SpotBugs の Ant タスクが拡張され、テストコードもカバーするようになりました。

* Windows 向け Apache Tomcat インストーラ用のリソースファイルがリファクタリングされ、全てのリソースファイルがソースツリー内の一個のディレクトリに置かれるようになりました。

* OpenSSL 1.1.1n でビルドされた Windows バイナリ向けにパッケージされた Tomcat Native Library のバージョンが 1.2.32 に更新されました。

* 中国語翻訳が改善されました。

* フランス語翻訳が改善されました。

* 日本語翻訳が改善されました。

* jakarta.el パッケージの翻訳のカバーする範囲が拡大されました。

詳細は以下をご覧ください。

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.78

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.78_(markt)