#1014 Apache Tomcat に複数の脆弱性

今回は、多くの企業のWebシステム基盤として採用されている「Apache Tomcat」に関する重要なセキュリティ情報をお届けします。認証機能が回避されてしまうリスクや、古いプロトコルに関連した脆弱性が複数発見されました。普段からサーバー運用を任されている方にとっては、直ちに対応が必要な内容が含まれていますので、ご自身の環境が該当しないか、しっかりと確認していただきたいと思います。

今回発表された内容は、Java環境でWebアプリケーションを動かすためのサーバーソフトであるApache Tomcatに、3つの重大な脆弱性が見つかったというものです。具体的には、クライアント証明書による認証がすり抜けられてしまう問題や、古い通信規格であるHTTP/0.9の処理に関する不備、そして証明書の有効性を確認する機能の欠陥などが指摘されています。これらの脆弱性を悪用されると、本来アクセス権限のない第三者にシステム内部へ侵入されたり、セキュリティ制限を回避されたりする恐れがあります。開発元はすでに対策済みの最新バージョンを公開しており、サポートが終了している古いバージョンも含めて広く影響があるため、速やかなアップデートが推奨されています。

Apache Tomcatは、Javaというプログラミング言語で作られたWebアプリケーションを動かすための、土台となるソフトウェアのことです。オープンソースとして無償で公開されており、世界中のWebサイトや企業の業務システムで非常に広く使われています。Webサーバーとしての機能と、Javaプログラムを実行するコンテナとしての機能を併せ持っているのが特徴ですね。そのため、ここに脆弱性があると、その上で動いているすべてのサービスに影響が及ぶ可能性があるのです。

今回見つかった脆弱性の一つ、CVE-2025-66614について説明しますね。これは、サーバーへの接続時に使われるホスト名と、通信の中身であるHTTPヘッダーのホスト名が一致するかどうかを、正しく検証していなかったことが原因です。複数の仮想ホストを設定している環境で、それぞれのセキュリティ設定が異なっている場合、攻撃者がこの不整合を突くことで、本来必要なクライアント証明書の提示をスキップして、認証を通過できてしまうリスクがあるのです。

これはHTTP/0.9という、インターネットの黎明期に使われていた非常に古い通信プロトコルに関する問題です。この古い規格では、データを取得する「GET」という命令しか定義されていないのですが、Tomcat側の処理において、存在しないはずの「HEAD」という命令を受け取った際の挙動に不備がありました。これにより、攻撃者が特殊なリクエストを送ると、GETリクエストに対してかけられているセキュリティ制限をすり抜けてしまう可能性があるのです。これを修正したのがCVE-2026-24733となります。

最も確実な対策は、開発元が提供している修正済みの最新バージョンへアップデートすることです。今回の脆弱性は、Tomcat本体だけでなく、Tomcat Nativeという連携ライブラリにも影響があります。ご自身が管理しているサーバーのバージョンを確認し、例えばTomcat 11系なら11.0.15以降へ、10系なら10.1.50以降へと更新する必要があります。また、すでにサポートが終了している古いバージョン、いわゆるEOLの製品を使っている場合も影響を受けますので、この機会に新しいバージョンへの移行を強くお勧めします。

今回の事例から学べるのは、長く使われている安定したミドルウェアであっても、新たな脆弱性は発見され続けるということです。特に、古いプロコルの実装が残っている部分や、複雑な設定が絡む認証周りは盲点になりがちです。管理者は「一度入れたら終わり」ではなく、常にJVNなどのセキュリティ情報をウォッチし、迅速にパッチを適用できる運用体制を整えておくことが、システムを守るための生命線になると言えるでしょう。