NEWS
【iWorld会員限定】ちょっとした悩み事を相談する場「Q&Aフォーラム」を新規開設 
IBM i トレンド IBM i トレンド
2025.05.15
SHARE
  • twitter
  • facebook
  • hatena

<2025/5/14 公開分までを反映>IBM i 関連の脆弱性情報

<2025/5/14 公開分までを反映>IBM i 関連の脆弱性情報

IBM i 関連の脆弱性情報サマリー(Log4j以外)を随時お知らせします。
Log4j関連の情報についてはこちらをご参照ください。
https://iworldweb.info/column/product/apache_log4j_20211220

2025年5月14日

サマリー:OpenSSH によるホストキーの検証時にエラーコードを適切に処理するため、中間者攻撃に対して脆弱です。

脆弱性の詳細

  • CVEID:CVE-2025-26465
    VerifyHostKeyDNSオプションが有効になっている場合に、OpenSSHで脆弱性が見つかりました。中間者攻撃は、正規のサーバーになりすました悪意のあるマシンによって実行される可能性があります。この問題は、OpenSSHがホストキーを検証する際に、特定の条件でエラーコードを誤って処理する方法が原因で発生します。攻撃が成功したと見なされるには、攻撃者はまずクライアントのメモリ リソースを使い果たし、攻撃の複雑さを高くする必要があります。

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース		 5733-SC1
PTF 番号		 PTFダウンロードリンク
7.6 SJ05440 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05440
7.5 SJ05424 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05424
7.4
7.3
7.2		 SJ05423 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05423

原文Security Bulletin: IBM i is vulnerable to a machine-in-the-middle attack due to mishandling error codes when verifying the host key by OpenSSH.

2025年5月6日

サマリー:IBM i Netserver での検証処理が正しくないため、認証および承認攻撃に対して脆弱です。

脆弱性の詳細

  • CVEID:CVE-2025-3218
    悪意のあるアクターは、弱点をブルートフォース認証攻撃と組み合わせて使用したり、権限制限を回避したりして、サーバーにアクセスする可能性があります。

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース		 5770-999
PTF 番号		 PTFダウンロードリンク
7.6 MJ05415 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05415
MJ05418 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05418
7.5 MJ05414 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05414
MJ05417 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05417
7.4 MJ05416 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05416
7.3 MJ05419 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05419
7.2 MJ05420 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05420

原文Security Bulletin: IBM i is vulnerable to an authentication and authorization attack due to incorrect validation processing in IBM i Netserver.

2025年4月18日

サマリー:IBM i には、IBM Navigator for i による HTTP ヘッダー・コンテンツの不適切な無効化によって引き起こされるホスト・ヘッダー・インジェクション攻撃の脆弱性があります。

脆弱性の詳細

  • CVEID:CVE-2025-2950
    認証されたユーザーは、HTTP リクエストのホスト・ヘッダーを操作してドメイン/IP アドレスを変更することができ、予期しない動作につながる可能性があります。

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース		 5770-SS1
PTF 番号		 PTFダウンロードリンク
7.6 SJ04647 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04647
7.5 SJ03406 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03406
7.4 SJ03404 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03404
7.3 SJ03402 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03402

原文Security Bulletin: IBM i is vulnerable to a host header injection attack due to improper neutralization of HTTP header content by IBM Navigator for i.

2025年4月17日

サマリー:IBM i には、OS コマンドの不正なスワッピングに起因する特権昇格の脆弱性が存在します。

脆弱性の詳細

  • CVEID:CVE-2025-2947
    悪意のある行為者は、このコマンドを使用して特権を昇格させ、ホストオペレーティングシステムへのルートアクセスを得ることができます。

影響を受ける製品とバージョン:IBM i 7.6

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース		 5770-SS1
PTF 番号		 PTFダウンロードリンク
7.6 SJ04908 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04908

原文Security Bulletin: IBM i is vulnerable to a privilege escalation due to incorrect profile swapping in an OS command.

2025年4月17日

サマリー:IBM i には、データベース機能制限チェックのバイパスによって引き起こされるデータベース・アクセス拒否サービスの脆弱性があります。

脆弱性の詳細

  • CVEID:CVE-2024-52895
    特権を持つ悪意のある行為者は、データベースのインフラストラクチャ・ファイルを削除したり、その他の方法で影響を与えたりすることができ、その結果、データベースに依存するソフトウェア製品の動作が不正になります。

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース		 5770-SS1
PTF 番号		 PTFダウンロードリンク
7.6 SJ03484 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03484
SJ03500 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03500
SJ03736 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03736
SJ03832 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03832
SJ03857 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03857
7.5 SJ03361 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03361
SJ03393 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03393
SJ03483 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03483
SJ03728 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03728
SJ03737 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03737
SJ03833 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03833
7.4 SJ03032 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03032
SJ03362 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03362
SJ03363 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03363
SJ03394 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03394
SJ03482 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03482
SJ03738 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03738
SJ03862 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03862

原文Security Bulletin: IBM i is vulnerable to a privilege escalation due to incorrect profile swapping in an OS command.

2025年4月14日

サマリー:IBM PowerHA SystemMirror for IBM i Web Interface には、Cookie 値の取得 (CVE-2024-55897) およびユーザーのクリック操作の乗っ取り (CVE-2024-55896) の脆弱性があります。PowerHA Web Interfaceを使用すると、WebブラウザからPowerHAの操作を簡単に管理できます。

脆弱性の詳細

  • CVEID:CVE-2024-55896
    iFrame 経由でコンテンツをレンダリングする際に不適切な制限が含まれています。 この脆弱性により、攻撃者が不適切なアクセスを取得し、システム上で不正なアクションを実行する可能性があります。
  • CVEID:CVE-2024-55897
    認証トークンまたはセッションCookieにsecure属性を設定しません。攻撃者は、http:// リンクをユーザーに送信するか、ユーザーがアクセスするサイトにこのリンクを仕込むことで、Cookie 値を取得できる可能性があります。クッキーは安全でないリンクに送られ、攻撃者はトラフィックを盗み見ることによってクッキーの値を得ることができます。

影響を受ける製品とバージョン:IBM i 7.5、IBM i 7.4

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース		 5770-HAS
PTF 番号		 PTFダウンロードリンク
7.5 SJ03222 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03222
7.4 SJ03274 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03274

原文Security Bulletin: IBM PowerHA SystemMirror for IBM i is vulnerable to multiple vulnerabilities in the PowerHA Web Interface.

2025年4月11日

サマリー:IBM i は、NTP の mstolfp.c の欠陥による境界外書き込みの脆弱性があります。

脆弱性の詳細

  • CVEID:CVE-2023-26551
    cp CWE の領域外書き込みがあります。
  • CVEID:CVE-2023-26552
    小数点を追加すると領域外書き込みを行います。敵対者はクライアントのntpqプロセスを攻撃できる可能性がありますが、ntpdを攻撃することはできません。
  • CVEID:CVE-2023-26553
    末尾の番号をコピーするときに領域外書き込みがあります。敵対者はクライアントのntpqプロセスを攻撃できる可能性がありますが、ntpdを攻撃することはできません。
  • CVEID:CVE-2023-26554
    ‘\0’ 文字を追加すると領域外書き込みを行います。敵対者はクライアントのntpqプロセスを攻撃できる可能性がありますが、ntpdを攻撃することはできません。

影響を受ける製品とバージョン:IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース		 5770-SS1
PTF 番号		 PTFダウンロードリンク
7.5 SI85765 https://www.ibm.com/mysupport/s/fix-information?legacy=SI85765
7.4 SI85768 https://www.ibm.com/mysupport/s/fix-information?legacy=SI85768
7.3 SJ04955 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04955

原文Security Bulletin: IBM i is vulnerable to an out-of-bounds write in NTP services due to multiple vulnerabilities.

2025年2月22日

サマリー

IBM i には、脆弱性の詳細セクションに記載されているように、ネットワークおよびコンパイラのインフラストラクチャにおいて、CL コマンドがライブラリ修飾なしで呼び出されることにより、ユーザーが特権を昇格される脆弱性がありますIBM i には、脆弱性の詳細セクションに記載されているように、プログラムをコンパイルまたはリストアする能力を持つユーザーが、修飾されていないライブラリ呼び出しにより、昇格した特権を得る脆弱性があります。本脆弱性情報では、対処/修正セクションに記載されているように、脆弱性に対処するための手順を示します。

脆弱性の詳細

CVEID:CVE-2024-55898
説明:IBM i では、プログラムをコンパイルまたはリストアする機能を持つユーザーが、修飾されていないライブラリ呼び出しによって昇格した特権を取得できる可能性があります。 悪意のある行為者は、ユーザー制御のコードを管理者権限で実行させることができます。
CVSSベーススコア:8.5

対象となる製品

影響を受ける製品 バージョン
IBM i 7.5
IBM i 7.4
IBM i 7.3
IBM i 7.2

対処法

IBM iのリリース7.5、7.4、7.3および7.2が修正されます。 IBM i 5770-SS1のPTF番号には脆弱性の修正が含まれています。

IBM i
リリース		 5770-SS1
PTFグループ
番号とレベル		 PTF ダウンロードリンク
7.5 SJ03650
SJ03678
SJ03685
SJ03754
SJ03769
SJ03804
SJ03808
SJ03813
SJ03817
SJ03821
SJ03841
SJ03864
SJ03892
SJ03902
SJ03997
SJ04013
SJ04017
SJ04020
SJ04051
SJ04063
SJ04126
SJ04154
SJ04156
SJ04168
SJ04174
SJ04193
SJ04200
SJ04211
SJ04260 		https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03650
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03678
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03685
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03754
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03769
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03804 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03808 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03813 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03817 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03821 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03841 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03864 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03892 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03902 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03997 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04013 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04017 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04020 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04051 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04063 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04126 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04154 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04156 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04168 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04174 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04193 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04200 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04211 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04260
7.4 SJ03651
SJ03679
SJ03684
SJ03753
SJ03772
SJ03803
SJ03807
SJ03812
SJ03816
SJ03820
SJ03842
SJ03868
SJ03891
SJ03901
SJ03998
SJ04016
SJ04018
SJ04019
SJ04050
SJ04061
SJ04127
SJ04162
SJ04167
SJ04173
SJ04201
SJ04251
SJ04259 		https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03651
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03679
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03684
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03753
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03772
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03803
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03807
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03812
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03816
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03820
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03842
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03868
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03891
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03901
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03998
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04016
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04018
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04019
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04050
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04061
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04127
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04162
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04167
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04173
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04201
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04251
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04259
7.3 SJ03652
SJ03680
SJ03683
SJ03752
SJ03773
SJ03802
SJ03806
SJ03811
SJ03815
SJ03819
SJ03843
SJ03869
SJ03890
SJ03999
SJ04049
SJ04060
SJ04078
SJ04080
SJ04081
SJ04128
SJ04166
SJ04169
SJ04172
SJ04202
SJ04252
SJ04258 		https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03652
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03680
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03683
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03752
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03773
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03802
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03806
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03811
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03815
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03819
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03843
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03869
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03890
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03999
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04049
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04060
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04078
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04080
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04081
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04128
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04166
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04169
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04172
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04202
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04252
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04258
7.2 SJ03653
SJ03681
SJ03682
SJ03748
SJ03774
SJ03801
SJ03805
SJ03810
SJ03814
SJ03818
SJ03844
SJ03870
SJ03889
SJ04002
SJ04048
SJ04059
SJ04069
SJ04079
SJ04082
SJ04147
SJ04165
SJ04171
SJ04176
SJ04203
SJ04257
SJ04264 		https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03653
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03681
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03682
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03748
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03774
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03801
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03805
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03810
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03814
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03818
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03844
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03870
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03889
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04002
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04048
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04059
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04069
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04079
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04082
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04147
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04165
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04171
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04176
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04203
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04257
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04264

https://www.ibm.com/support/fixcentral/


重要なお知らせ

IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。

詳細/原文

Security Bulletin: IBM i is vulnerable to a user gaining elevated privileges due to an unqualified library call [CVE-2024-55898].
https://www.ibm.com/support/pages/node/7183835

2025年2月12日

サマリー

IBM i には、脆弱性の詳細セクションで説明されているように、データベース機能制限チェックのバイパスによって引き起こされるデータベースアクセス拒否サービスに対する脆弱性があります。この記事では、対処法セクションに記載されているように、脆弱性に対処するための手順を特定しています。

脆弱性の詳細

CVEID:CCVE-2024-52895
説明:IBM i には、データベース機能制限チェックのバイパスによって引き起こされるデータベースアクセス拒否サービスに対する脆弱性があります。 特権を持つ悪意のある行為者は、データベースのインフラストラクチャ・ファイルを削除したり、その他の方法で影響を与えたりすることができ、その結果、データベースに依存するソフトウェア製品の動作が不正になります。
CVSSベーススコア:6.5

対象となる製品

影響を受ける製品 バージョン
IBM i 7.5
IBM i 7.4

対処法

IBM iのリリース7.5、および7.4が修正されます。 IBM i 5770-SS1のPTF番号には脆弱性の修正が含まれています。

IBM i
リリース		 5770-SS1
PTFグループ
番号とレベル		 PTF ダウンロードリンク
7.5 SJ03360
SJ03361
SJ03393
SJ03483
SJ03728
SJ03737 		https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03360
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03361
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03393
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03483
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03728
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03727
7.4 SJ03032
SJ03362
SJ03363
SJ03394
SJ03482
SJ03738
SJ03862 		https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03032
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03362
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03363
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03394
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03482
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03738
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03862

https://www.ibm.com/support/fixcentral/


重要なお知らせ

IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。

詳細/原文

Security Bulletin: IBM i is vulnerable to a database access denial of service caused by a database capabilities bypass restriction check [CVE-2024-52895].
https://www.ibm.com/support/pages/node/7183052

2025年2月10日

サマリー

IBM i で使用されている IBM® SDK Java™ Technology Edition および IBM® Runtime Environment Java™ には、脆弱性の詳細セクションで説明されているように、認証されていない攻撃者が部分的なサービス拒否 (部分的な DOS) [CVE-2024-21208, CVE-2024-21217] を実行する、および JNI 関数 GetStringUTFLength がラップされたときに不正な値の長さを返す [CVE-2024-10917] という脆弱性があります。 本脆弱性情報では、対処法のセクションに記載されているように、脆弱性に対処するための手順を特定しています。

脆弱性の詳細

CVEID:CCVE-2024-21217
説明:Java SE (コンポーネント: Serialization) の脆弱性。 悪用が困難な脆弱性により、複数のプロトコルを介してネットワークにアクセスできる未認証の攻撃者が、Java SE を侵害する可能性があります。 この脆弱性の攻撃に成功すると、無許可で部分的なサービス拒否 (partial DOS) を引き起こす可能性があります。
CVSSベーススコア:3.7

CVEID:CCVE-2024-21208
説明:Java SE (コンポーネント: ネットワーキング) の脆弱性。 悪用が困難な脆弱性により、複数のプロトコルを介してネットワークにアクセスできる未認証の攻撃者が、Java SE を侵害する可能性があります。 この脆弱性の攻撃に成功すると、無許可で部分的なサービス拒否 (partial DOS) を引き起こす可能性があります。
CVSSベーススコア:3.7

CVEID:CCVE-2024-10917
説明:Eclipse OpenJ9 の 0.47 までのバージョンでは、JNI 関数の GetStringUTFLength が回り込んだ不正な値を返すことがありました。 0.48 以降では、値は正しいのですが、より少ない文字数を含むように切り捨てられることがあります。
CVSSベーススコア:5.3

対象となる製品

影響を受ける製品 バージョン
IBM i 7.5
IBM i 7.4
IBM i 7.3

対処法

この脆弱性は、最新のJava PTF Groupを適用することで修正できます。 IBM iのリリース7.5、7.4、および7.3が修正されます。 IBM i PTF Groupの番号には、脆弱性の修正が含まれています。 Javaの今後のPTFグループにも脆弱性の修正が含まれる予定です。

IBM i
リリース		 5770-JV1 PTFグループ番号とレベル PTF ダウンロードリンク
7.5 SF99955 Level 13 https://www.ibm.com/support/pages/uid/nas4SF99955
7.4 SSF99665 Level 26 https://www.ibm.com/support/pages/uid/nas4SF99665
7.3 SF99725 Level 36 https://www.ibm.com/support/pages/uid/nas4SF99725

https://www.ibm.com/support/fixcentral/

IBM i用の最新のJava情報については、以下のURLのJavaドキュメントを参照してください:
https://www.ibm.com/support/pages/java-ibm-i

この製品とともに提供される IBM Java ランタイムを使用して独自の Java コードを実行する場合は、コードを評価して、Java の追加の脆弱性がコードに適用されるかどうかを判断する必要があります。


重要なお知らせ

IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。

詳細/原文

Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to a partial denial of service and a JNI function returning incorrect value length due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7182925

2024年の脆弱性情報はこちらから!
2023年の脆弱性情報はこちらから!

いいねと思ったらシェア
twitter
facebook
hatena
関連記事
パビリオン来場者の「共鳴体験」を実現し続けるIBM Powerサーバー
パビリオン来場者の「共鳴体験」を実現し続けるIBM Powerサーバー
更新:ADTS 一部機能のサポート終了について(ADTS : IBM Rational Development Studio for i Application Development Toolset)
更新:ADTS 一部機能のサポート終了について(ADTS : IBM Rational Development Studio for i Application Development Toolset)
IBM i 7.6およびIBM i 7.5 TR6の発表
IBM i 7.6およびIBM i 7.5 TR6の発表
あなたにオススメの連載
できるIBM i 温故知新編
9記事
できるIBM i 温故知新編
IBM i の”新”必須言語 〜FFRPG入門〜
13記事
IBM i の”新”必須言語 〜FFRPG入門〜
IBM i アプリの第二の柱 OSS
15記事
IBM i アプリの第二の柱 OSS