1. /
  2. /
  3. Tomcat 9.0.71 のリリースノート

Tomcat 9.0.71 のリリースノート

このドキュメントは 2023 年 1 月 13 日にリリースされた Tomcat 9.0.71 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。

脆弱性修正

* Apache Tomcat サービス妨害 CVE-2023-24998: Apache Tomcat は、Apache Commons FileUpload のパッケージ化され、名前を変えたコピーを使って、Jakarta Servlet 仕様で定義されているファイルアップロード機能を提供しています。Apache Tomcat はそれゆえ、処理されるリクエストの部分数に制限がなく、Apache Commons FileUpload の脆弱性 CVE-2023-24998 について脆弱です。これにより、攻撃者は悪意のある単独のアップロードあるいは一連のアップロードにより DoS を引き起こす可能性がありました。この問題が修正されました。(CVE-2023-24998)

不具合修正(Catalina)

* URL コンストラクタの使用を置き換えるリファクタリングでのリグレッションが修正されました。このリグレッションにより、URL パスで使用された場合にエスケープ処理が必要になる文字が一つ以上含まれている名前のリソースの検索が正しくなくなっていました。(66388)

* AccessLogValue のファイルエンコーディングのデフォルト値が UTF-8 に変更され、ドキュメントも更新されました。(66392)

* ExtendedAccessLogValve の x-P(XXX) がドキュメント通りに変更されました。(66393)

不具合修正(Coyote)

* 最後の応答がリクエストが完全に読み込まれる前に生成されたことにより HTTP/2 ストリームがリセットされるとき、HTTP/2 エラーコード NO_ERROR を使い、クライアントが応答を捨て去らないようになりました。

* コードポイントが 255 を超える文字が1文字以上含まれるヘッダ値を持つ応答をコミットすることを試みる場合、HTTP/1.1 の動作を HTTP/2 に揃えて、例外を投げるようになりました。(66196)

* HTTP/2 のバグが修正されました。このバグは、NIO2 コネクタで新しいフレームに対しノンブロッキング読み込みを行うと、読み込みタイムアウトが誤って使用され、予期しないストリームのクローズを引き起こしていました。(66385)

不具合修正(Jasper)

* システムプロパティ org.apache.el.GET_CLASSLOADER_USE_PRIVILEGED のデフォルト値が true に変更されました。ただし、EL ライブラリ Tomcat 上で実行される場合は除きます。その場合は、EL ライブラリは既に特権ブロック内から呼び出されているのでデフォルトは false のままとなり、不要な特権ブロックが回避されるので性能が改善されます。(66370)

機能追加・改良(Jasper)

* JSP のコンパイルでコンパイラのソースやコンパイラのターゲットとして Java 21 (値 21) を指定するサポートが追加されました。この値をサポートしていないバージョンの Eclipse JDT コンパイラと共に使用した場合には、警告がログ出力され、デフォルト値が使用されます。

機能追加・改良(Other)

* Apache Commons BCEL の内部フォークが 2ee2bff (2023-01-03, 6.7.1-SNAPSHOT) に更新されました。

* Apache Commons Codec の内部フォークが 3eafd6c (2023-01-03, 1.16-SNAPSHOT) に更新されました。

* Apache Commons FileUpload の内部フォークが 34eb241 (2023-01-03, 2.0-SNAPSHOT) に更新されました。

* Apache Commons DBCP の内部フォークが f131286 (2023-01-03, 2.10.0-SNAPSHOT) に更新されました。

* 日本語翻訳が改善されました。

* ポルトガル語翻訳が改善されました。

* Checkstyle が 10.6.0 に更新されました。

* Unboundid が 6.0.7 に更新されました。

* SpotBugs が 4.7.3 に更新されました。

詳細は以下をご覧ください。

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.71

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.71_(remm)

関連記事:

  1. Tomcat 9.0.70 のリリースノート
  2. Tomcat 9.0.80 のリリースノート
  3. Tomcat 9.0.68 のリリースノート
  4. Tomcat 9.0.67 のリリースノート