このドキュメントは 2023 年 1 月 19 日にリリースされた Tomcat 8.5.85のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* Apache Tomcat サービス妨害 CVE-2023-24998: Apache Tomcat は、Apache Commons FileUpload のパッケージ化され、名前を変えたコピーを使って、Jakarta Servlet 仕様で定義されているファイルアップロード機能を提供しています。Apache Tomcat はそれゆえ、処理されるリクエストの部分数に制限がなく、Apache Commons FileUpload の脆弱性 CVE-2023-24998 について脆弱です。これにより、攻撃者は悪意のある単独のアップロードあるいは一連のアップロードにより DoS を引き起こす可能性がありました。この問題が修正されました。(CVE-2023-24998)
不具合修正(Catalina)
* Servlet のコンテキストで設定される、クレディンシャルハンドラの属性の動作が改善され、認証中に何が使用されるかが実際に反映されるようになりました。
* RemoteIpValve と RemoteIpFilter の javadoc が更新され、protocolHeader のデフォルト値が正しい値 “X-Forwarded-Proto” になりました。(66359)
* URL コンストラクタの使用を置き換えるリファクタリングでのリグレッションが修正されました。このリグレッションにより、URL パスで使用された場合にエスケープ処理が必要になる文字が一つ以上含まれている名前のリソースの検索が正しくなくなっていました。(66388)
* AccessLogValue のファイルエンコーディングのデフォルト値が UTF-8 に変更され、ドキュメントも更新されました。(66392)
* ExtendedAccessLogValve の x-P(XXX) がドキュメント通りに変更されました。(66393)
不具合修正(Coyote)
* HTTP/2 ストリームがリセットされた時に、現在のアクティブなストリーム数が減らされていませんでした。ある接続で充分な回数リセットが行われると、現在のアクティブなストリーム数の上限に到達してしまい、その接続では新たなストリームを作ることができなくなっていました。この問題が修正されました。
* コードポイントが 255 を超える文字が1文字以上含まれるヘッダ値を持つ応答をコミットすることを試みる場合、HTTP/1.1 の動作を HTTP/2 に揃えて、例外を投げるようになりました。(66196)
* URL コンストラクタの使用を置き換えるリファクタリングでのリグレッションが修正されました。このリグレッションにより、URL パスで使用された場合にエスケープ処理が必要になる文字が一つ以上含まれている名前のリソースの検索が正しくなくなっていました。(66388)
不具合修正(Jasper)
* システムプロパティ org.apache.el.GET_CLASSLOADER_USE_PRIVILEGED のデフォルト値が true に変更されました。ただし、EL ライブラリ Tomcat 上で実行される場合は除きます。その場合は、EL ライブラリは既に特権ブロック内から呼び出されているのでデフォルトは false のままとなり、不要な特権ブロックが回避されるので性能が改善されます。(66370)
不具合修正(Web applications)
* クラスローダの説明でリストされている JAR が更新され、どれがオプションであるかが注記されました。(66348)
* アプリケーション開発者ガイド中の CVS に対する参照が、ソースコード制御システムへのより一般的な参照に置き換えられました。
機能追加・改良(Jasper)
* JSP のコンパイルでコンパイラのソースやコンパイラのターゲットとして Java 21 (値 21) を指定するサポートが追加されました。この値をサポートしていないバージョンの Eclipse JDT コンパイラと共に使用した場合には、警告がログ出力され、デフォルト値が使用されます。
機能追加・改良(Other)
* コードベースのリファクタリングが行われ、URL コンストラクタの使用が置き換えられました。URL コンストラクタが非推奨となるのは Java 20 以降ですが、非推奨となる理由は全てのバージョンに当てはまるので、今、削除しておきます。
* Commons Daemon が 1.3.3 に更新されました。
* 日本語翻訳が改善されました。
* Apache Commons FileUpload の内部フォークが 34eb241 (2023-01-03, 2.0-SNAPSHOT) に更新されました。
* Apache Commons BCEL の内部フォークが 2ee2bff (2023-01-03, 6.7.1-SNAPSHOT) に更新されました。
* Apache Commons Codec の内部フォークが 3eafd6c (2023-01-03, 1.16-SNAPSHOT) に更新されました。
* 日本語翻訳が改善されました。
* ポルトガル語翻訳が改善されました。
* Checkstyle が 10.6.0 に更新されました。
* Unboundid が 6.0.7 に更新されました。
* SpotBugs が 4.7.3 に更新されました。
詳細は以下をご覧ください。
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.85
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.85_(schultz)