JPCERTコーディネーションセンター(JPCERT/CC)は4月10日、Apache Software Foundationから、Apache Tomcat 9.0.7、Apache Tomcat 8.5.30がリリースされたことを伝えた。Changelogには、脆弱性などのセキュリティに関する修正は示されていない。
Apache Tomcat 9.0.7では、maxDaysにAccessLogValveおよびExtendedAccessLogValveが対応した。また、HTTP/2 PUSH_PROMISEフレームで2つのプロトコルエラーを修正するほか、OpenSSLエンジンのSSLセッションは無効なアクセスを無視するようになった。
Apache Tomcat 8.5.30では、Tomcat 9.0.xの新機能が含まれており、最小限のJavaバージョンと実装された仕様バージョンは変更されない。