Tomcat 8.5.94 のリリースノート

このドキュメントは 2023 年 10 月 10 日にリリースされた Tomcat 8.5.94のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。

脆弱性修正

* リクエストスマグリング CVE-2023-45648: Tomcat は、HTTP トレーラヘッダを正しくパースしていませんでした。特殊な細工を施した不正なトレーラヘッダにより、Tomcat が一個のリクエストを複数のリクエストとして処理するよう仕向け、背後にリバースプロキシがある場合にリクエストスマグリングの可能性がありました。この問題が修正されました。(CVE-2023-45648)

* サービス妨害 CVE-2023-44487: Tomcat の HTTP/2 実装は、急速なリセット攻撃に対して脆弱性がありました。サービス妨害は、通常 OutOfMemoryError として表れます。この問題が修正されました。(CVE-2023-44487)

* 情報漏洩 CVE-2023-42795: リクエストおよびレスポンスを含む様々な内部オブジェクトをリサイクルする際に、次のリクエストやレスポンスで再利用される前にエラーが起こると、Tomcat がリサイクル過程の一部をスキップしてしまい、現在のリクエストやレスポンスから次のリクエストやレスポンスへの情報漏洩につながっていました。この問題が修正されました。(CVE-2023-42795)

* サービス妨害 CVE-2023-42794: Tomcat の Commons FileUpload の内部フォークには、リリースされていない進行中のリファクタリングが含まれており、これが、Web アプリケーションがアップロードされたファイルのストリームをオープンしたもののそのストリームのクローズに失敗した場合に Windows 上でサービス妨害につながる可能性がありました。このようなファイルは、ディスク上から決して削除されることがなく、最終的にはディスクがフルになることによるサービス妨害の可能性を作り出します。この問題が修正されました。(CVE-2023-42794)

不具合修正(Catalina)

* デプロイメントの際のコンテキスト記述子の読み込みのエラーの処理が修正されました。

* 書き換えルール qsd (query string discard) が qsa も使用されている場合は無視されていましたが、優先すべきでした。この問題が修正されました。

* CORS が実際には使用されない場合は、より少ない CORS 関連のヘッダが送信されるようになりました。(67472)

不具合修正(Coyote)

* プロキシサーバから受信した auth_type 属性の処理の際は、AJP コネクタ属性 tomcatAuthorization が、tomcatAuthentication 属性より優先することが保証されるようになりました。(67198)

* AsyncListener がエラーを完了とするのではなくディスパッチする場合の NullPointerException が修正されました。(67235)

* 非同期的な処理中にエラーが発生した場合、そのエラー処理のプロセスは、非同期サイクルにつき一回だけトリガされるようになりました。

* IntropectionUtil での引数のないメソッドの照合を試みる際のロジックの問題が修正されました。

* NIO2 エンドポイントでの readNotify と writeNotify 周りのスレッドの安全性が改善されました。

* メッセージダイジェストマップをアクセスする際の、稀なスレッドの安全性の問題が回避されるようになりました。

* HTTP トレーラフィールドの検証が標準のフィールドに合わせられました。

* HTTP/2 のオーバヘッド防止が改善されました。

不具合修正(Jasper)

* 暗黙のオブジェクトを使用する JSP 中の EL 式の性能が改善されました。(67080)

機能追加・改良(Catalina)

* 証明書が期限切れとなる前の設定時刻の TLS 設定を自動的にリロードするライフサイクルリスナが提供されました。これは、定期的に TLS 証明書を更新するサードパーティのツールで使用されることが意図されています。(65770)

* recycle() メソッド内の失敗の処理が改善されました。

機能追加・改良(Other)

* Apache Commons FileUpload の内部フォークが 7a8c324 (2023-09-16, 1.x-SNAPSHOT) に更新されました。2.x ブランチは大幅なリファクタリングを行ったので、追加の Commons IO 依存関係が必要となりました。Tomcat は 1.x ブランチを追跡するよう切り替えられました。

* UnboundID が 6.0.9 に更新されました。

* Checkstyle が 10.12.3 に更新されました。

* Tomcat Native が、OpenSSL 3.0.11 でビルドした Windows バイナリに合わせて 1.2.39 に更新されました。

* フランス語翻訳が改善されました。

* 日本語翻訳が改善されました。

* ロシア語翻訳が改善されました。

詳細は以下をご覧ください。

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.94_(markt)