1. ホーム /
  2. Tomcat /
  3. Tomcat 9.0.115 のリリースノート

Tomcat 9.0.115 のリリースノート

このドキュメントは 2026 年 1 月 23 日にリリースされた Tomcat 9.0.115 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。

本リリースノートには Tomcat バージョン 9.0.115 および 9.0.114 のリリース情報が記載されています。9.0.114 は単独ではリリースされていません。

9.0.115

脆弱性修正

* OCSP を使用する場合、Tomcat の OpenSSL を使用したFFM統合では、OCSP レスポンスの検証および有効性 (フレッシュネス) の確認が完全に実施されていませんでした。その結果、証明書の失効確認が回避される可能性があります。(CVE-2026-24734)

不具合修正(Coyote)

* Tomcat のシャットダウン時にクラッシュを引き起こす可能性があった、OpenSSLEngine リソースの同時解放および Tomcat Native ライブラリの終了が防止されるように修正されました。

機能追加・改良(Other)

* GPG によるリリース成果物の署名を任意で無効化できるプロパティ「gpg.sign.files」が追加されました。

9.0.114

不具合修正(Catalina)

* リソースキャッシュが有効な Web アプリケーション内から ClassLoader.getResource().getContent() を呼び出した際、対象リソースが JAR ファイル内にある場合に失敗していた長年のリグレッションに対して、追加修正が行われました。(69623)

* CsrfPreventionFilter において、URL に複数の CSRF トークンが追加されないよう修正されました。

* content-length ヘッダーが設定されていない場合でも、HTTP/2 リクエストのリクエストパラメータが正しく解析されるようになりました。(69918)

* Rewrite Valve において URL エンコードエラーが発生した場合、置換文字を黙って使用するのではなく、例外がスローされるようになりました。

不具合修正(Coyote)

* TLS が有効なカスタムコネクタ使用時に発生する可能性があった NPE が回避されるように修正されました。

* FFM コードで暗号スイートリストを設定した際の警告が、tomcat-native の変更内容と一致するよう改善されました。

* ソケットクローズ直後に TLS オブジェクトが解放されるようになり、メモリ効率が改善されました。(69910)

* SSLHostConfig における JSSE と OpenSSL の設定スタイルチェックが緩和され、信頼属性とそれ以外の属性で異なる設定スタイルを使用できる既存実装が反映されました。

* JSSE の TLS 実装で OpenSSLConf の設定要素を使用した場合の警告メッセージが改善されました。

* FFM 経由で OpenSSL を使用する場合、CA 証明書が設定されていない、かつ設定失敗もしていない場合には、CA 証明書欠如の警告が出力されなくなりました。

* LibreSSL 3.5 未満のバージョンとの互換性を確保するため、OpenSSL FFM コードが修正されました。

* Tomcat のシャットダウン時にクラッシュを引き起こす可能性があった、OpenSSLEngine リソースの同時解放および Tomcat Native ライブラリの終了が防止されるように修正されました。

不具合修正(Jasper)

* 69333 に対する前回修正で発生していたリグレッションが修正され、タグに対して必ず reuse() または release() が呼び出されるようになりました。(69333)

不具合修正(WebSocket)

* WebSocket セッションから取得した Writer または OutputStream がクローズされている状態で書き込みを試みた場合、Writer で要求され、OutputStream で強く推奨されているとおり、IllegalStateException ではなく IOException がスローされるようになりました。(69920)

機能追加・改良(Catalina)

* Tomcat Native の最小および推奨バージョンが 1.3.4 に更新されました。

* Tomcat が提供する Authenticator に ssoReauthenticationMode が追加され、SSO Valve の requireReauthentication 属性を Authenticator ごとに上書きできるようになりました。

機能追加・改良(Coyote)

* OpenSSL と JSSE の TLS 実装間の設定整合性確保のため、SSLHostConfig の ciphers 属性に含まれる TLSv1.3 の暗号スイートは常に無視されるようになり、無視された場合は警告がログに出力されるようになりました。

* TLSv1.3 の暗号スイートを設定するための ciphersuite 属性が SSLHostConfig に追加されました。

* JSSE ベースの TLS コネクタに OCSP サポートが追加され、JSSE および OpenSSL ベースの TLS 実装の双方において、コネクタごとに OCSP の使用可否を設定できるようになりました。また、OpenSSL のチェック内容が JSSE と整合されました。

* OCSP チェックにおいて、失敗を致命的としないソフトフェイルがサポートされるようになりました。(デフォルトでは無効)

* OpenSSL ベースの TLS 実装使用時に、OCSP_basic_verify に渡される検証フラグを設定できるようになりました。

機能追加・改良(Cluster)

* mapSendOptions に人間が読める名前を使用できることが文書化され、channelSendOptions とドキュメント内容が整合されました。(62814)

機能追加・改良(Other)

* テスト実行中の JUnit コンソール出力を抑制する test.silent プロパティが追加されました。複数スレッドでテストを実行する際に、コンソール出力を簡潔にできるようになりました。

* 内部フォークの Commons Pool が 2.13.1 に更新されました。

* 内部フォークの Commons DBCP が 2.14.0 に更新されました。

* Commons Daemon が 1.5.1 に更新されました。

* ByteBuddy が 1.18.3 に更新されました。

* UnboundID が 7.0.4 に更新されました。

* Checkstyle が 12.3.1 に更新されました。

* フランス語翻訳が改善されました。

* 日本語翻訳が改善されました。

* 中国語翻訳が改善されました。

* Tomcat Native が 1.3.5 に更新されました。

詳細は以下をご覧ください。
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.115_(remm)

関連記事:

  1. Tomcat 9.0.113 のリリースノート
  2. Tomcat 9.0.80 のリリースノート
  3. Tomcat 9.0.79 のリリースノート
  4. Tomcat 9.0.81 のリリースノート