07/11/2025にApache Tomcatの脆弱性(Important: CVE-2025-53506, Low: CVE-2025-52520)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
- Apache TomcatとCommon Files Uploadの脆弱性(Important: CVE-2025-48976, CVE-2025-48988, Low: CVE-2025-49124, Medium: CVE-2025-49125)
- Apache Tomcatの脆弱性(Low: CVE-2025-46701)
- Apache Tomcatの脆弱性(Important: CVE-2025-31650, Low: CVE-2025-31651)
- Apache Tomcatの脆弱性(Important: CVE-2025-24813)
- Apache Tomcat の脆弱性(Important: CVE-2024-56337)
CVSS/プライオリティ
- CVE-2025-53506
- 影響するバージョン
- – Apache Tomcat 11.0.0-M1 through 11.0.8, 10.1.0-M1 through 10.1.42, 9.0.0.M1 through 9.0.106
- Priority/EPSS
- NVD:
- Red Hat:
- CVSS Score / CVSS Vector
- NVD:
- Red Hat:
- EPSS Score/Percentile
- DATE(JST): 2025-07-10
- EPSS: Not Available
- Percentile: Not Available
- 影響するバージョン
- CVE-2025-52520
- 影響するバージョン
- – Apache Tomcat 11.0.0-M1 through 11.0.8, 10.1.0-M1 through 10.1.42, 9.0.0.M1 through 9.0.106
- Priority/EPSS
- NVD:
- Red Hat:
- CVSS Score / CVSS Vector
- NVD:
- Red Hat:
- EPSS Score/Percentile
- DATE(JST): 2025-07-10
- EPSS: Not Available
- Percentile: Not Available
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://www.cve.org/CVERecord?id=CVE-2025-53506
- Apache Tomcat: 接続がスタートする際の過剰なh2ストリームによるDoS
- HTTP/2クライアントが、最大同時接続ストリーム数を減らすための初期設定フレームを認識しなかった場合、Apache Tomcatで制御不能なリソース消費の脆弱性が発生します。
- https://www.cve.org/CVERecord?id=CVE-2025-52520
- Apache Tomcat: マルチパートファイルアップロードでの整数オーバーフローによるDoS
- マルチパートアップロードの稀な構成では、Apache Tomcatの整数オーバーフローの脆弱性により、サイズ制限を回避してDoS 攻撃が発生する可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
