「Apache Tomcat」に2件の脆弱性 ～サービス拒否（DoS）などの恐れ

「Apache Tomcat」に2件の脆弱性

　Apache Software Foundationは4月29日（米国時間）、「Apache Tomcat」に脆弱性「CVE-2025-31650」と「CVE-2025-31651」が存在したことを公表した。

　このうち「CVE-2025-31650」は、HTTP優先度ヘッダーに対するエラー処理が不適切で、メモリリークが発生する問題。深刻度は同社の基準で2番目に高いHighとされており、悪用されるとサービス拒否（DoS）が発生する恐れがある。影響を受けるのは以下のバージョン。

• 11.0.0-M2～11.0.5
• 10.1.10～10.1.39
• 9.0.76～9.0.102

　一方「CVE-2025-31651」は、書き換え制限ルールを回避できてしまう問題で、深刻度はLow。以下のバージョンに影響する。

• 11.0.0-M1～11.0.5
• 10.1.0-M1～10.1.39
• 9.0.0.M1～9.0.102

　いずれも最新版の「Apache Tomcat 11.0.6」、「Apache Tomcat 10.1.40」、「Apache Tomcat 9.0.104」で修正済み。対象となるバージョンを運用している場合はすみやかにアップデートすることが推奨されている。