08/14/2025にApache Tomcatの脆弱性(High: CVE-2025-48989, Moderate: CVE-2025-55668)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
- Apache Tomcatの脆弱性(Important: CVE-2025-53506, Low: CVE-2025-52520)
- Apache TomcatとCommon Files Uploadの脆弱性(Important: CVE-2025-48976, CVE-2025-48988, Low: CVE-2025-49124, Medium: CVE-2025-49125)
- Apache Tomcatの脆弱性(Low: CVE-2025-46701)
- Apache Tomcatの脆弱性(Important: CVE-2025-31650, Low: CVE-2025-31651)
- Apache Tomcatの脆弱性(Important: CVE-2025-24813)
CVSS/プライオリティ
- CVE-2025-48989
- 影響するバージョン
- – Apache Tomcat 11.0.0-M1 through 11.0.9 , 10.1.0-M1 through 10.1.43, Apache Tomcat 9.0.0.M1 through 9.0.107, Apache Tomcat 8.5.0 through 8.5.100 unknown
- Priority/EPSS
- NVD: 7.5(HIGH)
- Red Hat:
- CVSS Score / CVSS Vector
- NVD: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Red Hat:
- EPSS Score/Percentile
- DATE(JST): 2025-08-13
- EPSS: Not Available
- Percentile: Not Available
- 影響するバージョン
- CVE-2025-55668
- 影響するバージョン
- – Apache Tomcat 11.0.0-M1 through 11.0.7 , 10.1.0-M1 through 10.1.41 , 9.0.0.M1 through 9.0.105 , 8 before 9.0.0.M1 unknown
- Priority/EPSS
- NVD: 6.5(MEDIUM)
- Red Hat:
- CVSS Score / CVSS Vector
- NVD: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
- Red Hat:
- EPSS Score/Percentile
- DATE(JST): 2025-08-13
- EPSS: Not Available
- Percentile: Not Available
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://www.cve.org/CVERecord?id=CVE-2025-48989
- Apache Tomcat: h2 DoS – Made You Reset問題
- Apache Tomcatに不充分なリソースシャットダウン・リリースがあり、これによりApache Tomcatがリセットアタックによる。h2 DoSの影響を受けることがわかりました。
- https://www.cve.org/CVERecord?id=CVE-2025-55668
- Apache Tomcat: 値の書き換えによるセッションの固定
- Apache Tomcatにセッション固定の脆弱性が見つかりました。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
