ニュース
「Apache Tomcat」に2件の脆弱性 ~サービス拒否(DoS)などの恐れ
最大深刻度はHigh、最新版で修正済み
2025年5月8日 16:06
Apache Software Foundationは4月29日(米国時間)、「Apache Tomcat」に脆弱性「CVE-2025-31650」と「CVE-2025-31651」が存在したことを公表した。
このうち「CVE-2025-31650」は、HTTP優先度ヘッダーに対するエラー処理が不適切で、メモリリークが発生する問題。深刻度は同社の基準で2番目に高いHighとされており、悪用されるとサービス拒否(DoS)が発生する恐れがある。影響を受けるのは以下のバージョン。
- 11.0.0-M2~11.0.5
- 10.1.10~10.1.39
- 9.0.76~9.0.102
一方「CVE-2025-31651」は、書き換え制限ルールを回避できてしまう問題で、深刻度はLow。以下のバージョンに影響する。
- 11.0.0-M1~11.0.5
- 10.1.0-M1~10.1.39
- 9.0.0.M1~9.0.102
いずれも最新版の「Apache Tomcat 11.0.6」、「Apache Tomcat 10.1.40」、「Apache Tomcat 9.0.104」で修正済み。対象となるバージョンを運用している場合はすみやかにアップデートすることが推奨されている。