更新日:2024年10月11日
このドキュメントは 2024 年 6 月 19 日にリリースされた Tomcat 9.0.90 のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正(Catalina)
* HTTP/2 ストリームの処理の際、Tomcat は過剰な HTTP ヘッダを場合によっては正しく取り扱っていませんでした。このために、アクティブな HTTP/2 ストリーム数のカウントが正しくなく、さらにそのことにより、誤った無限のタイムアウトが使用されなくなり、その結果、クローズされるべきコネクションがオープンされたままになる可能性がありました。本件は 2024/5/4 に Tomcat Security Team に報告され、2024/7/3 に公開されています。(CVE-2024-34750)
* Tomcat は、どのプラットフォームにおいても特定の設定の場合に、攻撃者がTLS ハンドシェーク処理を悪用することで OutOfMemoryError を発生させることができました。この問題が修正されました。本件は 2024/6/4 にTomcat Security Team に報告され、2024/9/23 に公開されています。(CVE-2024-38286)
不具合修正(Catalina)
* Base64 処理の際の SPNEGO オーセンテケータのリグレッションが修正されました。(69066)
* 68721 に対する修正でのリグレッションが修正されました。このリグレッションにより、LinkageError のいくつかのインスタンスが ClassNotFoundException と報告されていました。
* コンテキストがブルームフィルターを使用するよう設定されていた場合、JAR ファイルでデプロイされた静的リソースはアクセス可能なままとなることが保証されるようになりました。
不具合修正(Coyote)
* HTTP/2 使用時に非同期、ノンブロッキングの読み出しに対して読み込みタイムアウトが発動することが保証されるようになりました。(69068)
* 接続毎のアクティブな HTTP/2 ストリーム数のカウントがより確実になりました。
不具合修正(Jasper)
* JSP 向けに生成された Servlet コードの初期ロードに小さな最適化が追加されました。(68546)
機能追加・改良(Catalina)
* WebDAV を使用する際のシャロ―コピーがサポートされました。
* WebdavFixFilter は必要とされなくなったため、非推奨となりました。
* Tomcat Native の最小推奨バージョンが 1.3.0 に更新されました。
* システムプロパティ org.apache.catalina.connector.RECYCLE_FACADES が指定されていない場合、デフォルトで true に設定されるようになりました。これにより、discardFacades コネクタ属性のデフォルト値が設定され、ファサードオブジェクトがデフォルトで破棄されるようになります。
* 確立された GSS コンテキストから拡張あるいは追加された情報を取得する RealmBase.getPrincipal(GSSName, GSSCredential, GSSContext) が追加されました。
* AprLifecycleListener がより堅牢になるように参照カウントが導入されました。これは、複数のサーバが AprLifecycleListener を必要とする場合の独立したライフサイクルを持つ複数のサーバインスタンスからなる、より複雑な埋め込み設定を特にターゲットとしています。
機能追加・改良(Coyote)
* 一貫性を保つため、Connector 要素に、Executor 要素と同様のタスクキューサイズ設定が追加されました。
* TLS 1.3 のクライアント開始の鍵の再生成がサポートされました。
機能追加・改良(Web applications)
* Manager web アプリケーションのメインページにサブタイトルを設定する機能が追加されました。これは、ユーザが多数のインスタンスを区別しやすくすることを意図しています。
機能追加・改良(Other)
* Derby が 10.16.1.1 に戻されました。それは、このバージョンが Java 17 で動作する Derby の最新バージョンであるためです。
* Commons Daemon が 1.4.0 に更新されました。
* Objenesis が 3.4 に更新されました。
* Checkstyle が 10.17.0 に更新されました。
* SpotBugs が 4.8.5 に更新されました。
* フランス語翻訳が改善されました。
* 日本語翻訳が改善されました。
詳細は以下をご覧ください。
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.90_(remm)
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.90