オープンソースのJava Servletコンテナとして広く利用されているApache Tomcatにおいて、2件の脆弱性が報告されました。Apache Software Foundation(ASF)は、これらの問題に対するパッチを公開し、影響を受ける全ユーザーに対して速やかなアップデートを呼びかけています。
目次
CVE-2025-31650:不正なHTTP優先ヘッダーによるDoS攻撃の脆弱性
CVE-2025-31650は高リスク(High)と評価されており、不正なHTTP優先ヘッダーの処理時に発生するエラーハンドリング不備が原因です。具体的には、不正なリクエストが発生した際にサーバー側でリソースの解放が不完全になり、メモリリークが生じます。この状態が続くとOutOfMemoryExceptionを引き起こし、結果としてサーバーがサービス停止(DoS)状態に陥る可能性があるとされています。
影響を受けるバージョン:
-
Apache Tomcat 11.0.0-M2 ~ 11.0.5
-
Apache Tomcat 10.1.10 ~ 10.1.39
-
Apache Tomcat 9.0.76 ~ 9.0.102
対応策:
-
Apache Tomcat 11.0.6 以降へのアップデート
-
Apache Tomcat 10.1.40 以降へのアップデート
-
Apache Tomcat 9.0.104 以降へのアップデート
※なお、バージョン9.0.103では一度修正が試みられましたが、正式なリリース承認を得られなかったため、9.0.104以降への更新が必要です。
CVE-2025-31651:Rewriteルール回避の脆弱性
一方、CVE-2025-31651は低リスク(Low)とされるものの、特定のリライトルール設定において攻撃者が意図的にルールを回避するリクエストを送信できる可能性があります。この脆弱性が悪用された場合、意図したセキュリティ制約が適用されず、アクセス制御に穴が生じるおそれがあります。
影響を受けるバージョン:
-
Apache Tomcat 11.0.0-M1 ~ 11.0.5
-
Apache Tomcat 10.1.0-M1 ~ 10.1.39
-
Apache Tomcat 9.0.0.M1 ~ 9.0.102
対応策:
-
同様にApache Tomcat 11.0.6/10.1.40/9.0.104以降へのアップデートを推奨しています。
今回の脆弱性の背景と影響
今回報告された2つの脆弱性はいずれも、Apache Tomcatを利用しているサーバー環境において、大規模なサービス停止リスクやセキュリティ制約の回避リスクを内包するものです。特にCVE-2025-31650については、単純なリクエストの送信だけでサーバーを停止させる可能性があるため、速やかな対応が求められます。
推奨される対応策
-
早急に、パッチ適用または最新バージョン(9.0.104、10.1.40、11.0.6)へのアップグレードを実施してください。
-
特に、外部公開されているTomcatサーバーについては、影響を受けるバージョンで稼働していないか緊急点検を行うべきです。
-
リバースプロキシ環境やRewriteルールを多用している場合は、追加のセキュリティ監査も推奨されます。
一部参照
https://lists.apache.org/thread/y14yjrf40w2236hwjv7gmhs65csn42gj
https://lists.apache.org/thread/sxzchc0mkp7kd238dzothwqh2cww6l7b
関連記事
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
イセトーのランサムウェアによるサイバー攻撃と情報漏洩のまとめ
Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813)
Apache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートを
CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須
BtoBの展示会で利用できるイベントコンパニオン事務所のご紹介
WelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表
【2023年版】BtoBの展示会で利用できる補助金・助成金をご紹介!
ランサムウェアの事例を解説
