このドキュメントは 2022 年 08 月 13 日にリリースされた Tomcat 8.5.82のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* Apache Tomcat のサンプル Web アプリケーションの XSS CVE-2022-34305: サンプル Web アプリケーションの Form 認証サンプルでユーザ提供のデータをフィルタリングなしで表示しており、XSS 脆弱性がありました。(CVE-2022-34305)
不具合修正(Catalina)
* 同名の HTTP ヘッダのインスタンスが複数ある場合の HTTP TRACE リクエストの処理が修正されました。
* HTTP 範囲指定子の単位は大文字小文字の区別がされるという RFC 9110 の記述が実装されました。
* MemoryUserDatabase が XML ファイルに書き出される際にロールとグループの情報が適切にエスケープされるようになりました。
* XML-export ロジックの制御が個々のサポートクラスから MemoryUserDatabase.save() に移動されました。MemoryUser, MemoryRole, MemoryGroup が非推奨となり使用されなくなりました。
不具合修正(Coyote)
* CRCRLF を有効な行末指示子として扱うことを許す HTTP ヘッダパーシングでの例外的な場合の対処が行われました。
* 接続固有のヘッダを含む HTTP/2 リクエストが拒絶されることが保証されるようになりました。
* HTTP/2 リクエストの処理の際、:authority ヘッダの代わりに host ヘッダを使用することが可能になりました。
* HTTP/2 リクエストの処理の際、一個の host ヘッダと一個の :authority ヘッダは一貫性を保つように存在することが可能になりました。
* HTTP/2 リクエストの処理の際、複数の host ヘッダを含むリクエストが拒絶されるようになりました。
不具合修正(Web applications)
* ディレクトリ一覧を設定するオプションを議論する場合に contextXsltFile を含めるよう文書が修正されました。(62245)
* Form 認証例の重要度が低の XSS 脆弱性、CVE-2022-34305 が修正されました。(CVE-2022-34305)
機能追加・改良(Coyote)
* TLS ハンドシェークの失敗専用のロガー (org.apache.tomcat.util.net.NioEndpoint.handshake / org.apache.tomcat.util.net.Nio2Endpoint.handshake) が提供されるようになりました。
* OpenSSL 3.0.x 以降を使ってビルドされた Tomcat Native 1.2.34 以降を使っている場合、TLS が有効化された。
機能追加・改良(Other)
* Tomcat 8.5.x のリリース用ビルドを行うのに必要な Ant の最小バージョンが 1.10.2 になりました。
* ビルドプロセスに自動化される部分が追加され、リリースマネージャが行わなければならない手動ステップ数が削減されました。
* 再現可能なビルドのサポートが実装されました。再現可能なビルドはオペレーティングシステムには依存しませんが、同一の Ant バージョンおよび同一の JDK (ベンダとバージョンが同じ)が付随するバージョン情報として使用されることが必要です。このバージョン情報は JAR ファイルのマニフェストのように多数のビルド出力中に埋め込まれます。
* Tomcat Native Library のパッケージされたバージョンが 1.2.34 に更新され、OpenSSL 3.0.x でビルドする場合のサポートが改善されました。
* フランス語翻訳が改善されました。
* 日本語翻訳が改善されました。
* Tomcat Native Library のパッケージされたバージョンが 1.2.35 に更新され、OpenSSL 1.1.1q でビルドされた Windows バイナリに対応するようになりました。
詳細は以下をご覧ください。
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.82
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.82_(schultz)