Tomcat 9.0.117 のリリースノート

このドキュメントは 2026 年 4 月 3 日にリリースされた Tomcat 9.0.117 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。

脆弱性修正

* FFM が使用され、かつソフトフェイルが無効化されている場合でも、一部のシナリオにおいて CLIENT_CERT 認証が期待どおり失敗しない問題がありました。(CVE-2026-34500)

* クラスタリングコンポーネントのクラウドメンバーシップにおいて、ログファイルへの機密情報挿入の脆弱性により、Kubernetes のベアラートークンが漏洩する可能性がありました。(CVE-2026-34487)

* CVE-2026-29146 の修正における不備により、EncryptInterceptor がバイパスされる問題がありました。(CVE-2026-34486)

* Connector 属性の relaxedPathChars および/または relaxedQueryChars にデフォルト以外の値が設定されている場合、エスケープ処理が不完全となり、JSON アクセスログへ任意の JSON を注入できる問題がありました。(CVE-2026-34483)

* アクセスログにおいて、URI およびクエリ文字列のエスケープが追加されました。

* 無効な HEADERS フレームが受信された場合に、GOAWAY フレームなしで接続が閉じられてしまう可能性があった HTTP/2 ヘッダーフレーム解析の不具合が修正されました。

* NIO+TLS におけるノンブロッキングフラッシュ処理の不具合が修正され、接続が閉じられるまでレスポンスが完全に書き込まれない問題が修正されました。(69982)

* ストリームリセット後に、HTTP/2 リクエストヘッダー読み取りバッファが（デフォルトサイズへの復元を含めて）リセットされるようになりました。

* 各種 OCSP のエッジケースにおいて、OpenSSL FFM の挙動が Tomcat Native と一致するように調整されました。

* Kubernetes への接続試行および失敗時のログ出力の冗長性が削減されました。

* EncryptInterceptor におけるエラーハンドリングが改善されました。

* tomcat-native における OpenSSLEngine のバッファ再利用が、FFM コードと整合するように調整されました。

* トレーラーフィールドに対して、非トレーラーフィールドと同等のフィルタリングが提供されるようになりました。制御文字 (TAB を除く) およびコードポイント 255 を超える文字はスペースに置き換えられるようになりました。

* bnd が 7.2.3 に更新されました。

* フランス語翻訳が改善されました。

* 日本語翻訳が改善されました。

詳細は以下をご覧ください。