NEWS
IBM i トレンド IBM i トレンド
2025.08.17
SHARE
  • twitter
  • facebook
  • hatena
  • linkedin

<2025/8/15 公開分までを反映>IBM i 関連の脆弱性情報

<2025/8/15 公開分までを反映>IBM i 関連の脆弱性情報

IBM i 関連の脆弱性情報サマリー(Log4j以外)を随時お知らせします。
Log4j関連の情報についてはこちらをご参照ください。
https://iworldweb.info/column/product/apache_log4j_20211220

2025年8月15日

サマリー:IBM i は、IBM Digital Certificate Manager for i の Web セッション・ハイジャックの脆弱性により、認証されたユーザーが昇格された特権を取得することの影響を受けます。

脆弱性の詳細

  • CVEID:CVE-2025-36119
    IBM i は、Web セッション・ハイジャックの脆弱性により、認証済みユーザーがIBM Digital Certificate Manager for i (DCM)で昇格された特権を取得すると影響を受けます。管理者権限を持たない認証されたユーザーは、この脆弱性を悪用して、管理者としてDCMでアクションを実行する可能性があります。
    CVSSベーススコア:7.1

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-SS1
PTF 番号
PTFダウンロードリンク
7.6 SJ06558 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06558
SJ06827 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06827
7.5 SJ06557 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06557
SJ06826 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06826
7.4 SJ06552 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06552
SJ06825 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06825
7.3 SJ06550 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06550
SJ06824 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06824

原文 IBM i is affected by an authenticated user gaining elevated privileges due to a web session hijacking vulnerability in IBM Digital Certificate Manager for i

2025年8月12日

サマリー:IBM i は、OpenSSL のエラーの影響を受け、複数の脆弱性によりサービス拒否攻撃や誤った X.509 証明書検査が行われます。

脆弱性の詳細

  • CVEID:CVE-2023-0464
    X.509証明書チェーンの検証に関連するOpenSSLの これにはポリシーの制約が含まれます。攻撃者はこれを悪用できる可能性があります。
    CVSSベーススコア:5.3
  • CVEID:CVE-2023-0465
    証明書の検証時にデフォルト以外のオプションを使用するアプリケーションは、 特定のチェックを回避するための悪意のあるCAからの攻撃に対して脆弱です。リーフ証明書の無効な証明書ポリシーは、 その証明書のOpenSSLおよびその他の証明書ポリシーのチェックはスキップされます。悪意のある CA はこれを使用して、無効な証明書ポリシーを意図的にアサートする可能性があります。
    CVSSベーススコア:3.7
  • CVEID:CVE-2023-0466
    関数X509_VERIFY_PARAM_add0_policy()は、証明書検証時に証明書ポリシーチェックを暗黙的に有効にするとドキュメント化されています。しかし、この関数の実装では、無効または不正確なポリシーを持つ証明書が証明書検証を通過することを可能にするチェックが有効になっていません。ポリシーチェックを突然有効にすると既存の導入が損なわれる可能性があるため、X509_VERIFY_PARAM_add0_policy()関数の既存の動作を維持することが決定されました。
    CVSSベーススコア:3.7
  • CVEID:CVE-2023-2650
    特別に細工されたASN.1オブジェクト識別子の処理、または それらを含むデータは非常に遅い場合があります。
    CVSSベーススコア:6.5
  • CVEID:CVE-2023-3817
    長すぎる DH キーまたはパラメーターのチェックは非常に遅くなる可能性があります。
    CVSSベーススコア:3.7

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5733-SC1
PTF 番号
PTFダウンロードリンク
7.6 SJ06752 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06752
7.5 SJ06751 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06751
7.4
7.3
7.2
SJ06726 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06726

原文IBM i is affected by errors in OpenSSL resulting in denial-of-service attacks and incorrect X.509 certificate verification due to multiple vulnerabilities.

2025年8月7日

サマリー:IBM i は、IBM Java SDK および IBM Java Runtime for IBM i のスタック・ベースのバッファー・オーバーフローおよび不特定の脆弱性の影響を受けます。

脆弱性の詳細

  • CVEID:CVE-2025-21587
    Java SE に Server: DDL コンポーネントに関連する不特定の脆弱性により、リモートの攻撃者が機密性と整合性に高い影響を与えるおそれがあります。
    CVSSベーススコア:7.4
  • CVEID:CVE-2025-30698
    Java SE には 2D コンポーネントに関連する不特定の脆弱性があるため、リモートの攻撃者が機密性の低下、整合性の低下、可用性の低下に影響を及ぼす可能性があります。
    CVSSベーススコア:5.6
  • CVEID:CVE-2025-4447
    Eclipse OpenJ9 バージョン 0.51 まででは、OpenJDK バージョン 8 で使用すると、JVM の起動時に読み取られるディスク上のファイルを変更することで、スタック・ベースのバッファー・オーバーフローが発生する可能性があります。
    CVSSベーススコア:9.8

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-JV1
PTF 番号
PTFダウンロードリンク
7.6 SJ06025 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06025
SJ06429 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06429
SJ06489 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06489
SJ06490 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06490
SJ06567 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06567
SJ06568 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06568
SJ06621 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06621
SJ06743 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06743
7.5 SF99955 Level 16 https://www.ibm.com/support/pages/uid/nas4SF99955
7.4 SF99665 Level 29 https://www.ibm.com/support/pages/uid/nas4SF99665
7.3 SF99725 Level 38 https://www.ibm.com/support/pages/uid/nas4SF99725

原文IBM i is affected by stack based buffer overflow and unspecified vulnerabilities in IBM Java SDK and IBM Java Runtime for IBM i

2025年8月7日

サマリー:IBM i は、IBM Digital Certificate Manager for i の Web セッション・ハイジャックの脆弱性により、認証されたユーザーが昇格された特権を取得することの影響を受けます。

脆弱性の詳細

  • CVEID:CVE-2025-36119
    IBM i は、Web セッション・ハイジャックの脆弱性により、認証済みユーザーが IBM Digital Certificate Manager for i (DCM) で昇格された特権を取得すると影響を受けます。管理者権限を持たない認証されたユーザーは、この脆弱性を悪用して、管理者として DCM でアクションを実行する可能性があります。
    CVSSベーススコア:7.1

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-SS1
PTF 番号
PTFダウンロードリンク
7.6 SJ06558 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06558
7.5 SJ06557 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06557
7.4 SJ06552 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06552
7.3 SJ06550 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06550

原文IBM i is affected by an authenticated user gaining elevated privileges due to a web session hijacking vulnerability in IBM Digital Certificate Manager for i

2025年8月7日

サマリー:IBM i は、OpenSSH の脆弱性によるタイミング攻撃、安全でない方法でのシグナルの処理、および制御されていないメモリ消費の影響を受けます。

脆弱性の詳細

  • CVEID:CVE-2024-39894
    OpenSSH 9.5 から 9.7 より前の OpenSSH 9.8 では、ObscureKeystrokeTiming ロジックエラーにより、echo-off パスワード入力 (su や Sudo など) に対するタイミング攻撃が許可されることがあります。同様に、キーストローク入力に対する他のタイミング攻撃が発生する可能性があります。
    CVSSベーススコア:7.5
  • CVEID:CVE-2024-6387
    OpenSSH のサーバー (sshd) でセキュリティ回帰 (CVE-2006-5051) が発見されました。sshd が一部の信号を安全でない方法で処理する可能性のある競合状態があります。認証されていないリモートの攻撃者は、設定された期間内に認証に失敗することで、それをトリガーできる可能性があります。
    CVSSベーススコア:8.1
  • CVEID:CVE-2025-26466
    OpenSSH パッケージに欠陥が見つかりました。SSH サーバーが受信する ping パケットごとに、pong パケットがメモリ バッファに割り当てられ、パッケージのキューに保存されます。サーバー/クライアントキー交換が完了した場合にのみ解放されます。悪意のあるクライアントはそのようなパッケージを送信し続け、サーバー側のメモリ消費量を制御不能に増加させる可能性があります。その結果、サーバーが利用できなくなり、サービス拒否攻撃が発生する可能性があります。
    CVSSベーススコア:5.9

影響を受ける製品とバージョン:IBM i 7.6

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5733-SC1
PTF 番号
PTFダウンロードリンク
7.6 SJ06522 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06522

原文IBM i is affected by a timing attack, handling signals in an unsafe manner, and uncontrolled memory consumption due to vulnerabilities in OpenSSH

2025年7月31日

サマリー:IBM i は、International Components for Unicode (ICU) オプション39の複数の脆弱性の影響を受けます。現在使用しているICU4C バージョン 4.0には、IBMの修正では修復できない脆弱性が含まれています。

脆弱性の詳細

  • CVEID:CVE-2017-14952
    International Components for Unicode (ICU) for C/C++ のバージョン 59.1までにおいて、i18n/zonemeta.cpp ファイルに存在する二重のフリーメモリ解放の脆弱性により、リモート攻撃者が改ざんされた文字列を介して任意のコードを実行できる可能性があります。
    CVSSベーススコア:9.8
  • CVEID:CVE-2011-4599
    International Components for Unicode (ICU) 49.1 以前のバージョンにおいて、common/uloc.c ファイル内の _canonicalize 関数でスタックベースのバッファオーバーフローが発生する脆弱性が存在します。この脆弱性により、リモート攻撃者は、バリアント正規化処理中に適切に処理されないように作成されたロケール ID を通じて、任意のコードを実行する可能性があります。
    CVSSベーススコア:7.5
  • CVEID:CVE-2017-17484
    ucnv_u8. cpp ファイルは、C/C++ 用の International Components for Unicode (ICU) 60.1 までにおいて、UTF-8 から UTF-8 への変換における ucnv_convertEx 呼び出しを適切に処理せず、これによりリモート攻撃者が、ZNC によって示されたように、巧妙に作成された文字列を介してサービス拒否(スタックベースのバッファオーバーフローとアプリケーションのクラッシュ)を引き起こすか、または未指定の他の影響を及ぼす可能性があります。
    CVSSベーススコア:7.3

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:無し

回避策と軽減策
IBMは、CVEの影響を防止するため、ICU呼び出しを使用するアプリケーションがサニタイズされたAPI入力データを使用していることを確認し、現在脆弱性を対処することを推奨しています。
サニタイズに関する推奨事項は、保護対象のCVEと関連するICU APIごとに分類されています。

CVE-2017-17484 関数 ucnv_UTF8FromUTF8() は、ICU のコンバーター フレームワークを使用して UTF-8 テキストを変換するための ICU の内部ユーティリティです。

入力データのサニタイズのための推奨される手順
  • ・結果を格納するのに十分なサイズのバッファを確保する
  • ・呼び出し後に UErrorCode を確認し、処理する
  • ・UTF-8 入力の有効性を検証する
  • ・u_strFromUTF8() を使用(UTF-8 → UTF-16)この関数は、入力が適切に形成された UTF-8 でない場合、失敗します
  • ・無効な UTF-8 を置換によりクリーンアップする
  • ・ICU を使用して UTF-8 から UTF-8 への変換を行うエラーコールバック付き ucnv_convert() を使用する
CVE-2011-4599 ICUの_canonicalize関数は、ロケール識別子を標準化(正規化)し、さらに処理(ソート順序、日付/時刻のフォーマット、数値のフォーマットなど)に使用される前に、一貫した形式に準拠するようにします。

これらのAPIは_canonicalize APIを呼び出します:
uloc_getName、uloc_getBaseName、uloc_canonicalize

入力データのサニタイズのための推奨される手順
  • ・安全な値のみを受け入れることでロケール ID をホワイトリストに登録
  • ・予期しない文字や長い入力を拒否することで形式と長さを検証
  • ・ULOC_FULLNAME_CAPACITY を使用して十分なサイズのバッファを割り当てる
  • ・返されたサイズがバッファ容量を超えないことを確認し、U_BUFFER_OVERFLOW_ERROR エラーを処理
  • ・uloc_canonicalize を呼び出す前に、ucol_open を使用してキーワードを検証する
CVE-2017-14952 ZoneMeta::createOlsonToMetaMap は、ICU ライブラリ内の内部関数で、IANA (Olson) タイムゾーン ID を ICU のメタゾーン ID にマッピングする役割を担っています。

入力データのサニタイズのための推奨される手順

  • ・ZoneMeta::createOlsonToMetaMap() を直接呼び出さないように、バイパスまたはスタブ化を行う
  • ・Allowlist Locale IDs を、既知の安全な値のみを受け入れるようにする
  • ・ULOC_FULLNAME_CAPACITY を使用して十分なサイズのバッファを割り当てる
  • ・入力文字列が有効な ICU ID であるかどうかを検証する

原文IBM i is affected by multiple vulnerabilities in International Components for Unicode (ICU) option 39

2025年7月24日

サマリー:IBM i は、無効なデータベース権限チェックによる特権昇格に対して脆弱です。

脆弱性の詳細

  • CVEID:CVE-2025-33109
    悪意のある攻撃者は、一部のデータベース アクションに対してサービス拒否を引き起こすだけでなく、必要なすべてのアクセス許可を持たずにデータベース プロシージャまたは関数を実行する可能性があります。
    CVSSベーススコア:7.5

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-SS1
PTF 番号
PTFダウンロードリンク
7.6 SJ05809 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05809
SJ05810 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05810
SJ05837 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05837
SJ05960 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05960
SJ06021 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06021
SJ06219 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06219
7.5 SJ05838 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05838
SJ05847 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05847
SJ05850 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05850
SJ05851 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05851
SJ05953 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05953
SJ06022 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06022
7.4 SJ05839 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05839
SJ05846 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05846
SJ05852 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05852
SJ05853 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05853
SJ05959 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05959
SJ06023 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06023
7.3 SJ05840 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05840
SJ05845 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05845
SJ05854 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05854
SJ05855 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05855
SJ05966 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05966
SJ06477 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06477
7.2 SJ05842 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05842
SJ05844 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05844
SJ05856 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05856
SJ05857 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05857
SJ05965 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05965
SJ06478 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06478

原文IBM i is vulnerable to a privilege escalation due to an invalid database authority check

2025年7月22日

サマリー:IBM Db2 Mirror for i GUI は、クロスサイト WebSocket ハイジャックおよびセッション固定の脆弱性の影響を受けます。

脆弱性の詳細

  • CVEID:CVE-2025-36116
    認証されていない悪意のある攻撃者は、特別に細工されたリクエストを送信することで、クロスサイト WebSocket ハイジャックの脆弱性を悪用して既存の WebSocket 接続を盗聴し、ユーザーが実行できない操作をリモートで実行する可能性があります。
    CVSSベーススコア:6.3
  • CVEID:CVE-2025-36117
    IBM Db2 Mirror for i は、使用後にセッション ID を禁止しないため、認証されたユーザーがシステム上の別のユーザーになりすますことができます。
    CVSSベーススコア:6.3

影響を受ける製品とバージョン:IBM Db2 Mirror for i 7.6、IBM Db2 Mirror for i 7.5、IBM Db2 Mirror for i 7.4

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-DBM
PTF 番号
PTFダウンロードリンク
7.6 SJ05744 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05744
7.5 SJ05742 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05742
7.4 SJ05739 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05739

原文IBM Db2 Mirror for i GUI is affected by cross-site WebSocket hijacking and session fixation vulnerabilities

2025年7月17日

サマリー:IBM i は、複数の脆弱性により、IBM Portable Utilities for i の一部として OpenSSL のエラーの影響を受けます。

脆弱性の詳細

  • CVEID:CVE-2024-9143
    問題の概要:低レベルのGF(2^m)楕円曲線APIを、フィールド多項式に信頼できない明示的な値を使用して使用すると、境界外のメモリーの読み書きにつながる可能性があります。
    影響概要:境界外のメモリー書き込みは、アプリケーションのクラッシュやリモートコード実行の可能性さえもたらしますが、私たちが知っている楕円曲線暗号を含むすべてのプロトコルでは、「名前付き曲線」のみがサポートされているか、明示的な曲線パラメータがサポートされている場合、問題のある入力値を表現できない2値(GF(2^m))曲線のX9.62エンコーディングが指定されています。したがって、脆弱なアプリケーションが存在する可能性は低いです。
    CVSSベーススコア:3.7
  • CVEID:CVE-2024-6119
    問題の概要: 証明書の名前チェックを行うアプリケーション(サーバー証明書をチェックするTLSクライアントなど)が、無効なメモリー・アドレスを読み取ろうとする可能性があり、その結果、アプリケーション・プロセスが異常終了します。
    影響概要:アプリケーションの異常終了は、サービス拒否を引き起こす可能性があります。証明書の名前チェックを行うアプリケーション(サーバー証明書をチェックする TLS クライアントなど)は、期待される名前と X.509 証明書の `otherName` サブジェクト代替名を比較する際に、無効なメモリー・アドレスを読み込もうとする可能性があります。その結果、例外が発生してアプリケーションプログラムが終了することがあります。
    CVSSベーススコア:7.5
  • CVEID:CVE-2024-5535
    問題の概要: サポートされているクライアントプロトコルのバッファが空の状態で OpenSSL API 関数 SSL_select_next_proto を呼び出すと、クラッシュしたり、メモリーの内容が相手に送信されたりする可能性があります。
    影響概要:バッファのオーバーリードは、予期しないアプリケーションの動作やクラッシュなど、様々な影響を引き起こす可能性があります。特にこの問題では、最大 255 バイトの任意のプライベート・データがメモリーからピアに送信され、機密性が失われる可能性があります。しかし、サポートされているクライアントプロトコルの長さが0のリストでSSL_select_next_proto関数を直接呼び出すアプリケーションだけが、この問題の影響を受けます。
    CVSSベーススコア:6.5
  • CVEID:CVE-2024-4741
    問題の概要: OpenSSL API 関数 SSL_free_buffers を呼び出すと、状況によっては、以前に解放されたメモリにアクセスする可能性があります。
    影響概要:free後の使用は、有効なデータの破損、クラッシュ、または任意のコードの実行など、様々な潜在的な結果をもたらす可能性があります。ただし、この問題の影響を受けるのは、SSL_free_buffers関数を直接呼び出すアプリケーションのみです。
    CVSSベーススコア:7.5
  • CVEID:CVE-2024-4603
    問題の概要: 長すぎる DSA 鍵またはパラメータのチェックに非常に時間がかかることがあります。
    影響概要:関数 EVP_PKEY_param_check() または EVP_PKEY_public_check() を使用して DSA 公開鍵または DSA パラメータをチェックするアプリケーションで、長い遅延が発生する可能性があります。チェック対象の鍵やパラメータが信頼できないソースから取得された場合、サービス拒否につながる可能性があります。
    CVSSベーススコア:3.7
  • CVEID:CVE-2024-2511
    問題の概要: デフォルト以外の TLS サーバー設定の中には、TLSv1.3 セッションを処理する際に、制限外のメモリー増加を引き起こすものがあります。
    影響概要:攻撃者が特定のサーバー設定を悪用することで、サービス拒否につながる上限を超えたメモリー増加を引き起こす可能性があります。
    CVSSベーススコア:5.9
  • CVEID:CVE-2024-13176
    問題の概要: ECDSA 署名の計算において、秘密鍵を復元できる可能性のあるタイミング・サイドチャネルが存在します。
    影響概要:ECDSA署名計算におけるタイミング・サイドチャネルにより、攻撃者が秘密鍵を復元できる可能性があります。
    CVSSベーススコア:4.1
  • CVEID:CVE-2024-0727
    問題の概要: 悪意を持ってフォーマットされた PKCS12 ファイルを処理すると、OpenSSL がクラッシュし、サービス運用妨害(DoS)攻撃を受ける可能性があります。
    影響概要:信頼できないソースから PKCS12 形式のファイルを読み込んだアプリケーションが、突然終了する可能性があります。
    CVSSベーススコア:3.1
  • CVEID:CVE-2023-6237
    問題の概要: 長すぎる無効なRSA公開鍵のチェックに時間がかかることがあります。
    影響概要:EVP_PKEY_public_check()関数を使用してRSA公開鍵をチェックするアプリケーションで、長い遅延が発生する可能性があります。
    CVSSベーススコア:3.1
  • CVEID:CVE-2023-6129
    問題の概要: POLY1305 MAC(メッセージ認証コード)の実装には、CPUがベクター命令を提供する場合、PowerPC CPUベースのプラットフォーム上で実行するアプリケーションの内部状態を破壊する可能性のあるバグが含まれています。
    影響概要:攻撃者が POLY1305 MAC アルゴリズムを使用するかどうかに影響を与えることができる場合、アプリケーションの状態が破壊され、アプリケーションに依存するさまざまな影響が生じる可能性があります。
    CVSSベーススコア:5.9
  • CVEID:CVE-2023-5678
    問題の概要: 長すぎるX9.42 DHキーの生成や、長すぎるX9.42 DHキーまたはパラメータのチェックに非常に時間がかかる可能性があります。
    影響概要:関数DH_generate_key()を使用してX9.42 DH鍵を生成するアプリケーションでは、長い遅延が発生する可能性があります。同様に、DH_check_pub_key()、DH_check_pub_key_ex()、または、EVP_PKEY_public_check()を使用してX9.42 DH鍵またはX9.42 DHパラメータをチェックするアプリケーションでも、長い遅延が発生する可能性があります。チェック対象の鍵やパラメータが信頼できないソースから取得されたものである場合、 サービス拒否につながる可能性があります。DH_check() は必要なすべてのチェックを実施しますが(CVE-2023-3817 時点)、DH_check_pub_key() はこれらのチェックを実施せず、したがって過剰に大きな P と Q パラメーターに対して脆弱です。
    CVSSベーススコア:3.7
  • CVEID:CVE-2023-5363
    問題の概要: 鍵と初期化ベクトル(IV)の長さの処理にバグが確認された。このため、一部の対称暗号の初期化時に切り捨てやオーバーランが発生する可能性があります。
    影響概要:IVの切り捨てによって一意性が失われ、一部の暗号モードで機密性が失われる可能性があります。
    CVSSベーススコア:5.9

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-SC1
PTF 番号
PTFダウンロードリンク
7.6 SJ06342
SJ06401
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06342
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06401
7.5 SJ06341
SJ06400
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06341
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06400
7.4
7.3
7.2
SJ05505 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06283
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06399

原文IBM i is affected by errors in OpenSSL as part of IBM Portable Utilities for i due to multiple vulnerabilities.

2025年6月24日

サマリー:IBM Facsimile Support for i の未修飾のライブラリ呼び出しの脆弱性により、IBM i はユーザーが昇格した特権を取得する影響を受けます。

脆弱性の詳細

  • CVEID:CVE-2025-36004
    IBM i は、IBM Facsimile Support for i での未修飾のライブラリ呼び出しにより、ユーザーが昇格した特権を取得することを許可する可能性があります。悪意のあるアクターが、ユーザー制御のコードを管理者権限で実行する可能性があります。
    CVSSベーススコア:8.8

影響を受ける製品とバージョン:IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5798-FAX
PTF 番号
PTFダウンロードリンク
7.5
7.4
7.3
7.2
SJ06024 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06024

原文IBM i is affected by a user gaining elevated privileges due to an unqualified library call vulnerability in IBM Facsimile Support for i

2025年6月17日

サマリー:IBM Advanced Job Scheduler for i の修飾されていないライブラリー呼び出しの脆弱性により、IBM iはプログラムをコンパイルまたは復元して昇格された特権を取得できるユーザーの影響を受けます。

脆弱性の詳細

  • CVEID:CVE-2025-33122
    IBM i は、IBM Advanced Job Scheduler for i での修飾されていないライブラリ呼び出しにより、ユーザーが昇格された特権を取得することを許可する可能性があります。悪意のあるアクターが、ユーザー制御のコードを管理者権限で実行する可能性があります。
    CVSSベーススコア:7.5

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-JS1
PTF 番号
PTFダウンロードリンク
7.6
7.5
7.4
7.3
7.2
SJ05929 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05929

原文IBM i is affected by a user gaining elevated privileges due to an unqualified library call vulnerability in IBM Advanced Job Scheduler for i

2025年6月13日

サマリー:IBM Backup, Recovery and Media Services for i は、修飾されていないライブラリ呼び出しにより昇格された特権を取得するユーザーに対して脆弱です。

脆弱性の詳細

  • CVEID:CVE-2025-33108
    IBM Backup, Recovery and Media Services for i を使用すると、プログラムをコンパイルまたは復元する能力を持つユーザーが、BRMS プログラムによって行われたライブラリの非修飾呼び出しにより、昇格された特権を取得する可能性があります。悪意のあるアクターは、ホストオペレーティングシステムへのコンポーネントアクセスを使用して、ユーザー制御のコードを実行する可能性があります。
    CVSSベーススコア:8.5

影響を受ける製品とバージョン:IBM i 7.5、IBM i 7.4

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-BR1
PTF 番号
PTFダウンロードリンク
7.5 SJ05907 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05907
7.4 SJ05906 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05906

原文IBM Backup, Recovery and Media Services for i is vulnerable to a user gaining elevated privileges due to an unqualified library call

2025年5月17日

サマリー:IBM TCP/IP Connectivity Utilities for i に特権昇格の脆弱性が含まれています。

脆弱性の詳細

  • CVEID:CVE-2025-33103
    IBM TCP/IP Connectivity Utilities for i には、権限昇格の脆弱性が存在します。ホストオペレーティングシステムへのコマンドラインアクセス権を持つ悪意のあるアクターは、特権を昇格してホストオペレーティングシステムへのルートアクセスを取得できます。
    CVSSベーススコア:8.5

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-TC1
PTF 番号
PTFダウンロードリンク
7.6 SJ05513 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05513
7.5 SJ05494 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05494
7.4 SJ05505 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05505
7.3 SJ05514 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ055145
7.2 SJ05525 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05525

原文Security Bulletin: IBM i is vulnerable to a privilege escalation vulnerability in IBM TCP/IP Connectivity Utilities for i

2025年5月14日

サマリー:OpenSSH によるホストキーの検証時にエラーコードを適切に処理するため、中間者攻撃に対して脆弱です。

脆弱性の詳細

  • CVEID:CVE-2025-26465
    VerifyHostKeyDNSオプションが有効になっている場合に、OpenSSHで脆弱性が見つかりました。中間者攻撃は、正規のサーバーになりすました悪意のあるマシンによって実行される可能性があります。この問題は、OpenSSHがホストキーを検証する際に、特定の条件でエラーコードを誤って処理する方法が原因で発生します。攻撃が成功したと見なされるには、攻撃者はまずクライアントのメモリー・リソースを使い果たし、攻撃の複雑さを高くする必要があります。
    CVSSベーススコア:6.8

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5733-SC1
PTF 番号
PTFダウンロードリンク
7.6 SJ05440 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05440
7.5 SJ05424 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05424
7.4
7.3
7.2
SJ05423 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05423

原文Security Bulletin: IBM i is vulnerable to a machine-in-the-middle attack due to mishandling error codes when verifying the host key by OpenSSH.

2025年5月6日

サマリー:IBM i Netserver での検証処理が正しくないため、認証および承認攻撃に対して脆弱です。

脆弱性の詳細

  • CVEID:CVE-2025-3218
    悪意のあるアクターは、弱点をブルートフォース認証攻撃と組み合わせて使用したり、権限制限を回避したりして、サーバーにアクセスする可能性があります。
    CVSSベーススコア:5.4

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-999
PTF 番号
PTFダウンロードリンク
7.6 MJ05415 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05415
MJ05418 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05418
7.5 MJ05414 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05414
MJ05417 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05417
7.4 MJ05416 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05416
7.3 MJ05419 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05419
7.2 MJ05420 https://www.ibm.com/mysupport/s/fix-information?legacy=MJ05420

原文Security Bulletin: IBM i is vulnerable to an authentication and authorization attack due to incorrect validation processing in IBM i Netserver.

2025年4月18日

サマリー:IBM i には、IBM Navigator for i による HTTP ヘッダー・コンテンツの不適切な無効化によって引き起こされるホスト・ヘッダー・インジェクション攻撃の脆弱性があります。

脆弱性の詳細

  • CVEID:CVE-2025-2950
    認証されたユーザーは、HTTP リクエストのホスト・ヘッダーを操作してドメイン/IP アドレスを変更することができ、予期しない動作につながる可能性があります。
    CVSSベーススコア:5.4

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-SS1
PTF 番号
PTFダウンロードリンク
7.6 SJ04647 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04647
7.5 SJ03406 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03406
7.4 SJ03404 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03404
7.3 SJ03402 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03402

原文Security Bulletin: IBM i is vulnerable to a host header injection attack due to improper neutralization of HTTP header content by IBM Navigator for i.

2025年4月17日

サマリー:IBM i には、OS コマンドの不正なスワッピングに起因する特権昇格の脆弱性が存在します。

脆弱性の詳細

  • CVEID:CVE-2025-2947
    悪意のある行為者は、このコマンドを使用して特権を昇格させ、ホストオペレーティングシステムへのルートアクセスを得ることができます。
    CVSSベーススコア:7.2

影響を受ける製品とバージョン:IBM i 7.6

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-SS1
PTF 番号
PTFダウンロードリンク
7.6 SJ04908 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04908

原文Security Bulletin: IBM i is vulnerable to a privilege escalation due to incorrect profile swapping in an OS command.

2025年4月17日

サマリー:IBM i には、データベース機能制限チェックのバイパスによって引き起こされるデータベース・アクセス拒否サービスの脆弱性があります。

脆弱性の詳細

  • CVEID:CVE-2024-52895
    特権を持つ悪意のある行為者は、データベースのインフラストラクチャ・ファイルを削除したり、その他の方法で影響を与えたりすることができ、その結果、データベースに依存するソフトウェア製品の動作が不正になります。
    CVSSベーススコア:7.2

影響を受ける製品とバージョン:IBM i 7.6、IBM i 7.5、IBM i 7.4

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-SS1
PTF 番号
PTFダウンロードリンク
7.6 SJ03484 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03484
SJ03500 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03500
SJ03736 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03736
SJ03832 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03832
SJ03857 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03857
7.5 SJ03361 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03361
SJ03393 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03393
SJ03483 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03483
SJ03728 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03728
SJ03737 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03737
SJ03833 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03833
7.4 SJ03032 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03032
SJ03362 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03362
SJ03363 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03363
SJ03394 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03394
SJ03482 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03482
SJ03738 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03738
SJ03862 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03862

原文Security Bulletin: IBM i is vulnerable to a privilege escalation due to incorrect profile swapping in an OS command.

2025年4月14日

サマリー:IBM PowerHA SystemMirror for IBM i Web Interface には、Cookie 値の取得 (CVE-2024-55897) およびユーザーのクリック操作の乗っ取り (CVE-2024-55896) の脆弱性があります。PowerHA Web Interfaceを使用すると、WebブラウザからPowerHAの操作を簡単に管理できます。

脆弱性の詳細

  • CVEID:CVE-2024-55896
    iFrame 経由でコンテンツをレンダリングする際に不適切な制限が含まれています。 この脆弱性により、攻撃者が不適切なアクセスを取得し、システム上で不正なアクションを実行する可能性があります。
    CVSSベーススコア:5.4
  • CVEID:CVE-2024-55897
    認証トークンまたはセッションCookieにsecure属性を設定しません。攻撃者は、http:// リンクをユーザーに送信するか、ユーザーがアクセスするサイトにこのリンクを仕込むことで、Cookie 値を取得できる可能性があります。クッキーは安全でないリンクに送られ、攻撃者はトラフィックを盗み見ることによってクッキーの値を得ることができます。
    CVSSベーススコア:4.3

影響を受ける製品とバージョン:IBM i 7.5、IBM i 7.4

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-HAS
PTF 番号
PTFダウンロードリンク
7.5 SJ03222 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03222
7.4 SJ03274 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03274

原文Security Bulletin: IBM PowerHA SystemMirror for IBM i is vulnerable to multiple vulnerabilities in the PowerHA Web Interface.

2025年4月11日

サマリー:IBM i は、NTP の mstolfp.c の欠陥による境界外書き込みの脆弱性があります。

脆弱性の詳細

  • CVEID:CVE-2023-26551
    cp CWE の領域外書き込みがあります。
    CVSSベーススコア:5.3
  • CVEID:CVE-2023-26552
    小数点を追加すると領域外書き込みを行います。敵対者はクライアントのntpqプロセスを攻撃できる可能性がありますが、ntpdを攻撃することはできません。
    CVSSベーススコア:5.3
  • CVEID:CVE-2023-26553
    末尾の番号をコピーするときに領域外書き込みがあります。敵対者はクライアントのntpqプロセスを攻撃できる可能性がありますが、ntpdを攻撃することはできません。
    CVSSベーススコア:5.3
  • CVEID:CVE-2023-26554
    ‘\0’ 文字を追加すると領域外書き込みを行います。敵対者はクライアントのntpqプロセスを攻撃できる可能性がありますが、ntpdを攻撃することはできません。
    CVSSベーススコア:5.3

影響を受ける製品とバージョン:IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル:この問題は、PTFを適用することで解決できます。

IBM iの
リリース
5770-SS1
PTF 番号
PTFダウンロードリンク
7.5 SI85765 https://www.ibm.com/mysupport/s/fix-information?legacy=SI85765
7.4 SI85768 https://www.ibm.com/mysupport/s/fix-information?legacy=SI85768
7.3 SJ04955 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04955

原文Security Bulletin: IBM i is vulnerable to an out-of-bounds write in NTP services due to multiple vulnerabilities.


2025年2月22日

サマリー

IBM i には、脆弱性の詳細セクションに記載されているように、ネットワークおよびコンパイラのインフラストラクチャにおいて、CL コマンドがライブラリ修飾なしで呼び出されることにより、ユーザーが特権を昇格される脆弱性がありますIBM i には、脆弱性の詳細セクションに記載されているように、プログラムをコンパイルまたはリストアする能力を持つユーザーが、修飾されていないライブラリ呼び出しにより、昇格した特権を得る脆弱性があります。本脆弱性情報では、対処/修正セクションに記載されているように、脆弱性に対処するための手順を示します。

脆弱性の詳細

CVEID:CVE-2024-55898
説明:IBM i では、プログラムをコンパイルまたはリストアする機能を持つユーザーが、修飾されていないライブラリ呼び出しによって昇格した特権を取得できる可能性があります。 悪意のある行為者は、ユーザー制御のコードを管理者権限で実行させることができます。
CVSSベーススコア:8.5

対象となる製品

影響を受ける製品 バージョン
IBM i 7.5
IBM i 7.4
IBM i 7.3
IBM i 7.2

対処法

IBM iのリリース7.5、7.4、7.3および7.2が修正されます。 IBM i 5770-SS1のPTF番号には脆弱性の修正が含まれています。

IBM i
リリース
5770-SS1
PTFグループ
番号とレベル
PTF ダウンロードリンク
7.5 SJ03650
SJ03678
SJ03685
SJ03754
SJ03769
SJ03804
SJ03808
SJ03813
SJ03817
SJ03821
SJ03841
SJ03864
SJ03892
SJ03902
SJ03997
SJ04013
SJ04017
SJ04020
SJ04051
SJ04063
SJ04126
SJ04154
SJ04156
SJ04168
SJ04174
SJ04193
SJ04200
SJ04211
SJ04260
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03650
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03678
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03685
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03754
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03769
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03804 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03808 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03813 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03817 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03821 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03841 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03864 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03892 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03902 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03997 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04013 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04017 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04020 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04051 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04063 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04126 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04154 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04156 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04168 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04174 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04193 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04200 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04211 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04260
7.4 SJ03651
SJ03679
SJ03684
SJ03753
SJ03772
SJ03803
SJ03807
SJ03812
SJ03816
SJ03820
SJ03842
SJ03868
SJ03891
SJ03901
SJ03998
SJ04016
SJ04018
SJ04019
SJ04050
SJ04061
SJ04127
SJ04162
SJ04167
SJ04173
SJ04201
SJ04251
SJ04259
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03651
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03679
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03684
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03753
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03772
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03803
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03807
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03812
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03816
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03820
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03842
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03868
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03891
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03901
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03998
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04016
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04018
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04019
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04050
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04061
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04127
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04162
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04167
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04173
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04201
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04251
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04259
7.3 SJ03652
SJ03680
SJ03683
SJ03752
SJ03773
SJ03802
SJ03806
SJ03811
SJ03815
SJ03819
SJ03843
SJ03869
SJ03890
SJ03999
SJ04049
SJ04060
SJ04078
SJ04080
SJ04081
SJ04128
SJ04166
SJ04169
SJ04172
SJ04202
SJ04252
SJ04258
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03652
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03680
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03683
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03752
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03773
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03802
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03806
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03811
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03815
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03819
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03843
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03869
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03890
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03999
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04049
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04060
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04078
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04080
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04081
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04128
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04166
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04169
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04172
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04202
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04252
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04258
7.2 SJ03653
SJ03681
SJ03682
SJ03748
SJ03774
SJ03801
SJ03805
SJ03810
SJ03814
SJ03818
SJ03844
SJ03870
SJ03889
SJ04002
SJ04048
SJ04059
SJ04069
SJ04079
SJ04082
SJ04147
SJ04165
SJ04171
SJ04176
SJ04203
SJ04257
SJ04264
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03653
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03681
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03682
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03748
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03774
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03801
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03805
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03810
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03814
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03818
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03844
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03870
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03889
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04002
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04048
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04059
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04069
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04079
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04082
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04147
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04165
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04171
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04176
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04203
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04257
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ04264

https://www.ibm.com/support/fixcentral/


重要なお知らせ

IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。

詳細/原文

Security Bulletin: IBM i is vulnerable to a user gaining elevated privileges due to an unqualified library call [CVE-2024-55898].
https://www.ibm.com/support/pages/node/7183835

2025年2月12日

サマリー

IBM i には、脆弱性の詳細セクションで説明されているように、データベース機能制限チェックのバイパスによって引き起こされるデータベースアクセス拒否サービスに対する脆弱性があります。この記事では、対処法セクションに記載されているように、脆弱性に対処するための手順を特定しています。

脆弱性の詳細

CVEID:CCVE-2024-52895
説明:IBM i には、データベース機能制限チェックのバイパスによって引き起こされるデータベースアクセス拒否サービスに対する脆弱性があります。 特権を持つ悪意のある行為者は、データベースのインフラストラクチャ・ファイルを削除したり、その他の方法で影響を与えたりすることができ、その結果、データベースに依存するソフトウェア製品の動作が不正になります。
CVSSベーススコア:6.5

対象となる製品

影響を受ける製品 バージョン
IBM i 7.5
IBM i 7.4

対処法

IBM iのリリース7.5、および7.4が修正されます。 IBM i 5770-SS1のPTF番号には脆弱性の修正が含まれています。

IBM i
リリース
5770-SS1
PTFグループ
番号とレベル
PTF ダウンロードリンク
7.5 SJ03360
SJ03361
SJ03393
SJ03483
SJ03728
SJ03737
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03360
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03361
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03393
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03483
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03728
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03727
7.4 SJ03032
SJ03362
SJ03363
SJ03394
SJ03482
SJ03738
SJ03862
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03032
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03362
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03363
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03394
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03482
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03738
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ03862

https://www.ibm.com/support/fixcentral/


重要なお知らせ

IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。

詳細/原文

Security Bulletin: IBM i is vulnerable to a database access denial of service caused by a database capabilities bypass restriction check [CVE-2024-52895].
https://www.ibm.com/support/pages/node/7183052

2025年2月10日

サマリー

IBM i で使用されている IBM® SDK Java™ Technology Edition および IBM® Runtime Environment Java™ には、脆弱性の詳細セクションで説明されているように、認証されていない攻撃者が部分的なサービス拒否 (部分的な DOS) [CVE-2024-21208, CVE-2024-21217] を実行する、および JNI 関数 GetStringUTFLength がラップされたときに不正な値の長さを返す [CVE-2024-10917] という脆弱性があります。 本脆弱性情報では、対処法のセクションに記載されているように、脆弱性に対処するための手順を特定しています。

脆弱性の詳細

CVEID:CCVE-2024-21217
説明:Java SE (コンポーネント: Serialization) の脆弱性。 悪用が困難な脆弱性により、複数のプロトコルを介してネットワークにアクセスできる未認証の攻撃者が、Java SE を侵害する可能性があります。 この脆弱性の攻撃に成功すると、無許可で部分的なサービス拒否 (partial DOS) を引き起こす可能性があります。
CVSSベーススコア:3.7

CVEID:CCVE-2024-21208
説明:Java SE (コンポーネント: ネットワーキング) の脆弱性。 悪用が困難な脆弱性により、複数のプロトコルを介してネットワークにアクセスできる未認証の攻撃者が、Java SE を侵害する可能性があります。 この脆弱性の攻撃に成功すると、無許可で部分的なサービス拒否 (partial DOS) を引き起こす可能性があります。
CVSSベーススコア:3.7

CVEID:CCVE-2024-10917
説明:Eclipse OpenJ9 の 0.47 までのバージョンでは、JNI 関数の GetStringUTFLength が回り込んだ不正な値を返すことがありました。 0.48 以降では、値は正しいのですが、より少ない文字数を含むように切り捨てられることがあります。
CVSSベーススコア:5.3

対象となる製品

影響を受ける製品 バージョン
IBM i 7.5
IBM i 7.4
IBM i 7.3

対処法

この脆弱性は、最新のJava PTF Groupを適用することで修正できます。 IBM iのリリース7.5、7.4、および7.3が修正されます。 IBM i PTF Groupの番号には、脆弱性の修正が含まれています。 Javaの今後のPTFグループにも脆弱性の修正が含まれる予定です。

IBM i
リリース
5770-JV1 PTFグループ番号とレベル PTF ダウンロードリンク
7.5 SF99955 Level 13 https://www.ibm.com/support/pages/uid/nas4SF99955
7.4 SSF99665 Level 26 https://www.ibm.com/support/pages/uid/nas4SF99665
7.3 SF99725 Level 36 https://www.ibm.com/support/pages/uid/nas4SF99725

https://www.ibm.com/support/fixcentral/

IBM i用の最新のJava情報については、以下のURLのJavaドキュメントを参照してください:
https://www.ibm.com/support/pages/java-ibm-i

この製品とともに提供される IBM Java ランタイムを使用して独自の Java コードを実行する場合は、コードを評価して、Java の追加の脆弱性がコードに適用されるかどうかを判断する必要があります。


重要なお知らせ

IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。

詳細/原文

Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to a partial denial of service and a JNI function returning incorrect value length due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7182925


2024年の脆弱性情報はこちらから!
2023年の脆弱性情報はこちらから!

いいねと思ったらシェア
twitter
facebook
hatena
linkedin
関連記事
IBM Power11プロセッサー搭載サーバーのラインアップ
IBM Power11プロセッサー搭載サーバーのラインアップ
[2025年6月30日更新] ADTS 一部機能のサポート終了について
[2025年6月30日更新] ADTS 一部機能のサポート終了について
IBM i 7.6およびIBM i 7.5 TR6の Db2 for iとIBM iサービス機能強化
IBM i 7.6およびIBM i 7.5 TR6の Db2 for iとIBM iサービス機能強化
あなたにオススメの連載
Db2 for i & SQL活用 虎の巻
15記事
Db2 for i & SQL活用 虎の巻
IBM i の”新”必須言語 〜FFRPG入門〜
13記事
IBM i の”新”必須言語 〜FFRPG入門〜
できるIBM i 温故知新編
9記事
できるIBM i 温故知新編