IBM i 関連の脆弱性情報サマリー(Log4j以外)を随時お知らせします。
Log4j関連の情報についてはこちらをご参照ください。
https://iworldweb.info/column/product/apache_log4j_20211220
どうぞ、ご登録ください。
2025年12月30日
サマリー:IBM i は、IBM Java SDKおよびIBM Java Runtimeにおける機密情報の漏洩および不適切なアクセス制御の脆弱性の影響を受けます。
脆弱性の詳細
-
IBM i が Javaアプリケーションの構築と実行をサポートするために使用するIBM SDK Java Technology EditionおよびIBM Runtime Environment Javaは、JAXPコンポーネントのAPIを使用したデータへの不正アクセスおよびセキュリティー・コンポーネントのAPIを使用したデータの作成、削除、または変更アクセスに対して脆弱です。
- CVEID:CVE-2025-53066
Java SE のJAXPコンポーネントに関連する未特定の脆弱性により、リモートの攻撃者が機密性への影響を引き起こす可能性があります。整合性への影響および可用性への影響はありません。
CVSSベーススコア:7.5 - CVEID:CVE-2025-53057
Java SEのセキュリティー・コンポーネントに関連する未特定の脆弱性により、リモート攻撃者が整合性に重大な影響を及ぼす可能性があります。機密性への影響および可用性への影響はありません。
CVSSベーススコア:5.9
影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3
適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。
IBMでは、上記の表にある全てのPTFを含む最新のPTFを全て受け取るために、5770-JV1 PTFグループをインストールすることを推奨しています。
| IBM iの リリース |
5770-JV1 PTFグループ 番号とレベル |
PTFダウンロードリンク |
|---|---|---|
| 7.6 | SF99965 Level 4 | https://www.ibm.com/mysupport/s/fix-information?legacy=SF99965 |
| 7.5 | SF99955 Level 19 | https://www.ibm.com/mysupport/s/fix-information?legacy=SF99955 |
| 7.4 | SF99665 Level 31 | https://www.ibm.com/mysupport/s/fix-information?legacy=SF99665 |
| 7.3 | SF99725 Level 40 | https://www.ibm.com/mysupport/s/fix-information?legacy=SF99725 |
IBMは、影響を受ける製品のサポートされていないバージョンを実行しているお客様に、サポート対象かつ修正されたバージョンにアップグレードすることを推奨します。
2025年12月18日
サマリー:IBM i のNavigator for i は、ブラウザー・エディターの使用時に、クロスサイトスクリプトに対して脆弱性があります。
脆弱性の詳細
- CVEID:CVE-2024-47875
DOMPurifyは、HTML、MathML、SVG向けのDOM専用で超高速かつ超高耐性のXSSサニタイザーです。DOMpurifyはネストベースのmXSSに対して脆弱でした。この脆弱性は2.5.0および3.1.3で修正されています。
CVSSベーススコア:6.1
影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3
適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。
| IBM iの リリース |
5770-SS1 PTF 番号 |
PTFダウンロードリンク |
|---|---|---|
| 7.6 | SJ07431 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ07431 |
| 7.5 | SJ07434 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ07434 |
| 7.4 | SJ07439 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ07439 |
| 7.3 | SJ07451 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ07451 |
原文:IBM i is affected by a cross-site scripting vulnerability in Navigator for i.
2025年12月12日
サマリー:IBM i 用のOpenSSLは、パスワードベースの暗号化によって暗号化されたCMSメッセージを復号する際に、範囲外読み取りおよび書き込みに対して脆弱です。
脆弱性の詳細
- CVEID:CVE-2025-9230
この範囲外読み取りはクラッシュを引き起こす可能性があり、アプリケーションのサービス拒否(DoS)につながる恐れがあります。範囲外書き込みはメモリー破損を引き起こす可能性があり、サービス拒否や攻撃者が提供したコードの実行など、様々な結果を招く恐れがあります。
CVSSベーススコア:7.5
影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2
適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。
| IBM iの リリース |
5733-SC1 PTF 番号 |
PTFダウンロードリンク |
|---|---|---|
| 7.6 | SJ08215 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ08215 |
| 7.5 | SJ08214 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ08214 |
| 7.4 | SJ08213 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ08213 |
| 7.3 | SJ08213 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ08213 |
| 7.2 | SJ08213 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ08213 |
原文:IBM i is affected by an out-of-bounds read and write in OpenSSL.
2025年12月10日
サマリー:IBM OmniFind Text Search Server for DB2 for i は、オーバーフロー攻撃、XML外部エンティティ参照の不適切な制限攻撃、制御されていないリソース消費攻撃、不適切な無効化攻撃に対して脆弱です。
脆弱性の詳細
- CVEID:CVE-2017-15691
Apache uimaj(2.10.2より前のバージョン)、Apache uimaj 3.0.0-xxx(3.0.0-betaより前のバージョン)、Apache uima-as(2.10.2より前のバージョン)、Apache uimaFIT(2.4.0より前のバージョン)、Apache uimaDUCC(2.2.2以前より前のバージョン)において、この脆弱性は様々なXMLパーサーのXML外部エンティティ拡張(XXE)機能に関連しています。UIMAは設定や運用の過程で様々なソースからXMLを読み取ることがあり、それが汚染されてローカルファイルやその他の内部コンテンツの意図しない漏洩を引き起こす可能性があります。
CVSSベーススコア:7.5 - CVEID:CVE-2024-47072
XStreamは、オブジェクトをXMLにシリアライズし、またXMLに戻すためのシンプルなライブラリです。この脆弱性により、XStreamがBinaryStreamDriverを使用するように設定されている場合、処理された入力ストリームを操作することで、リモート攻撃者はスタックオーバーフローエラーでアプリケーションを終了させ、サービス拒否攻撃を実行できる可能性があります。XStream 1.4.21は、バイナリ入力ストリームの操作によるスタックオーバーフローを検出し、代わりにInputManipulationExceptionを発生させるようパッチが適用されています。ユーザーにはアップグレードを推奨します。
CVSSベーススコア:7.5 - CVEID:CVE-2024-45492
2.6.3以前のlibexpatで問題が見つかりました。xmlparse.cのnextScaffoldPartには、32ビット・プラットフォーム上の m_groupSize の整数オーバーフローが発生する可能性があります(UINT_MAXはSIZE_MAXに等しい)。
CVSSベーススコア:9.8 - CVEID:CVE-2024-25269
libheif(1.17.6以上)には JpegEncoder::Encode 関数にメモリーリークの脆弱性が存在します。この脆弱性により、攻撃者はサービス拒否攻撃を引き起こす可能性があります。
CVSSベーススコア:5.3 - CVEID:CVE-2024-36052
Windows版RARLAB WinRAR 7.00より前のバージョンでは、ANSIエスケープシーケンスを用いて攻撃者が画面出力を偽装できる可能性があります。これは、CVE-2024-33899とは異なる問題です。
CVSSベーススコア:6.5
影響を受ける製品とバージョン:IBM OmniFind テキスト検索サーバー for DB2 for i 1.7、IBM OmniFind テキスト検索サーバー for DB2 for i 1.6、IBM OmniFind テキスト検索サーバー for DB2 for i 1.5
適用が推奨される修正ファイル
| IBM OmniFind テキスト検索サーバー for DB2 for iの リリース |
IBM i リリース |
5733-OMF PTF 番号 |
PTFダウンロードリンク |
|---|---|---|---|
| 1.7 | 7.6 | SJ08264 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ08264 |
| 1.6 | 7.5 | SJ08272 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ08272 |
| 1.5 | 7.4 | SJ08273 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ08273 |
原文:IBM OmniFind Text Search Server for DB2 for i is affected by multiple vulnerabilities.
