FAMLog

Apache Tomcat 8.5.9が公開されています。

Apache Tomcat 8.5.9では、複数のリクエストを処理する際に同一の「Processor」が用いられ、セッションIDやレスポンス情報が漏洩する恐れがある脆弱性（CVE-2016-8745）が修正されています。この脆弱性は、Apache Tomcat 8.5系統において行われたConnectorコードのリファクタリングが原因で作りこまれたものであるとのことです。

現時点でのApache Tomcatの最新安定バージョンはバージョン8.5系統です。Apache Tomcatはバージョン9.0系統の開発も進められており、現在Apache Tomcat 9.0.0.M15 (alpha)が公開されている状況です。なお、Apache Tomcat 8.5.9と同時に公開されたApache Tomcat 9.0.0.M15 (alpha)では上記の脆弱性が修正されています。

［関連］JVNVU#97321122: Apache Tomcat に情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.0.41とApache Tomcat 7.0.75が公開（FAMLog）

（2017/02/01追記：関連記事へのリンクを更新・追加しました。CVE-2016-8745は、公表当初、Apache Tomcat 8.5より前のバージョンは影響を受けないとされていましたが、バージョン8.0系列以前も影響を受けることが後から判明しました。）