「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消
「Apache Tomcat」の開発チームは現地時間2025年8月13日、6月以降にリリースされたアップデートで対処した脆弱性2件を明らかにした。
現地時間2025年8月6日、7日にリリースした「Apache Tomcat 11.0.10」「同10.1.44」「同9.0.108」では、「HTTP/2」の実装不備に起因するサービス拒否の脆弱性「CVE-2025-48989」に対応した。
同ソフトウェアに限らず、複数のソフトウェアで「HTTP/2」が仕様どおり実装されておらず、大量のリクエストによってリソースを枯渇させることができる脆弱性「MadeYouReset」が判明している。
「MadeYouReset」に対して「CVE-2025-8671」が割り当てられているが、各実装環境ごとにCVE番号を取得するケースがあり、「Apache Tomcat」では「CVE-2025-48989」として対応した。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」、重要度は4段階中、上から2番目にあたる「高(High)」とレーティングされている。
(Security NEXT - 2025/08/15 )
ツイート
関連リンク
PR
関連記事
リモートアクセスツール「UltraVNC」に複数の脆弱性
DC向け機器「NVIDIA Networking BlueField」「ConnectX」に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「IBM WebSphere Application Server」の管理画面に複数脆弱性
侵害受けたKDDIのISP向けメールシステム、ゼロデイ脆弱性が標的に
「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正

