このドキュメントは 2022 年 10 月 07 日にリリースされた Tomcat 9.0.68 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* Apache Tomcat リクエストスマグリング CVE-2022-42252: Tomcat は、rejectIllegalHeader を false に設定する(デフォルト設定ではありません)ことで不正な HTTP ヘッダを無視するように設定されていた場合、不正な Content-Length ヘッダを含むリクエストを拒絶しないため、Tomcat が、やはり、不正なヘッダがあるリクエストを拒絶するのに失敗するリバースプロキシの背後に置かれている場合、リクエストスマグリング攻撃が可能となっていました。この問題が修正されました。(CVE-2022-42252)
不具合修正(Catalina)
* URL がエンコードされた行末記号を含む場合の想定外の動作を回避するため、RewriteValve が更新され、dotall モードを使ってパターン照合が行われるようになりました。
不具合修正(Coyote)
* HTTP/2 ストリームの派生を追加する際の誤ったクラスのキャストが修正されました。(66276)
* HTTP/2 と NIO2 を使用している場合のクライアントの切断として発生する想定外のタイムアウトが修正されました。(66281)
* 不正な content-length ヘッダを持つリクエストは常に 400 応答で拒絶すべきであるという RFC 7230 以降の要件が強制的に適用されるようになりました。
不具合修正(Jasper)
* Stack ArrayDeque のリファクタリングでのリグレッションが修正されました。(66277)
不具合修正(Web applications)
* CsrfPreventionFilter の nonceRequestParameterName 属性の説明が記載されました。
機能追加・改良(Jasper)
* JSP のコンパイルでコンパイラのソースあるいはコンパイラのターゲットとして値 20 で Java 20 を指定できるようになりました。この値をサポートしていない Eclipse JDT コンパイラバージョンを使用している場合は、警告がログ出力され、デフォルト値が使用されます。
機能追加・改良(Other)
* Objenesis のバージョンが 3.2 に更新されました。
* UnboundID のバージョンが 6.0.6 に更新されました。
* Checkstyle のバージョンが 10.3.4 に更新されました。
* JaCoCo のバージョンが 0.8.8 に更新されました。
* SpotBugs のバージョンが 4.7.2 に更新されました。
* JSign のバージョンが 4.2 に更新されました。
* Derby のバージョンが 10.16.1.1 に更新されました。
* 中国語翻訳が改善されました。
* チェコ語翻訳が改善されました。
* フランス語翻訳が改善されました。
* 日本語翻訳が改善されました。
* 韓国語翻訳が改善されました。
* スペイン語翻訳が改善されました。
詳細は以下をご覧ください。
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.68
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.68_(markt)