<2026/3/17 公開分までを反映>IBM i 関連の脆弱性情報

IBM i 関連の脆弱性情報サマリー（Log4j以外）を随時お知らせします。
Log4j関連の情報についてはこちらをご参照ください。
https://iworldweb.info/column/product/apache_log4j_20211220

2026年3月17日

サマリー：IBM iは、OpenSSLに存在する複数の脆弱性の影響を受けています。

脆弱性の詳細

• CVEID:CVE-2025-15467
  悪意を持って作成されたAEADパラメータを含むCMS AuthEnvelopedDataまたはEnvelopedDataメッセージを解析すると、スタックバッファオーバーフローが発生する可能性があります。そして、スタックバッファオーバーフローにより、システムがクラッシュし、サービス拒否（DoS）を引き起こしたり、場合によってはリモートコード実行につながる可能性があります。
  
  AES-GCMなどのAEAD暗号を使用するCMS (Auth)EnvelopedData構造体を解析する際、ASN.1パラメータにエンコードされたIV(初期化ベクトル)が、その長さが宛先領域に収まるかどうかを確認せずに、固定サイズのスタックバッファにコピーされます。攻撃者は、過剰な長さのIVを含む細工されたCMSメッセージを送信することで、認証やタグ検証が行われる前に、スタックベースの範囲外書き込みを引き起こせます。
  
  AEAD暗号（例：AES-GCMを使用したS/MIME (Auth)EnvelopedData）を使用して、信頼できないCMSまたはPKCS#7コンテンツを解析するアプリケーションやサービスは、この脆弱性の影響を受けます。
  
  ※3.6、3.5、3.4、3.3、3.0のFIPSモジュールは、この問題の影響を受けません。
  ※OpenSSL 3.6、3.5、3.4、3.3、3.0 はこの問題の影響を受けます。OpenSSL 1.1.1および1.0.2はこの問題の影響を受けません。
  CVSSベーススコア：9.8

• CVEID:CVE-2025-68160
  改行を含まない大容量のデータを、行バッファリングフィルタを使用してBIOチェーンに書き込む際、次のBIOが短い書き込みを行うと、ヒープベースの範囲外書き込みが発生する可能性があります。 そして、この範囲外書き込みによりメモリー破損が発生し、通常はクラッシュを引き起こし、アプリケーションのサービス拒否（DoS）につながる可能性があります。
  
  行バッファリングBIOフィルター（BIO_f_linebuffer）は、通常、OpenSSLコマンドラインアプリケーションでは、VMSシステム上のstdout/stderrにのみ適用されます。
  
  このBIOフィルターを明示的に使用し、短い書き込みが可能なBIOチェーンを持つサードパーティー製アプリケーションは、攻撃者の影響を受けた改行のない大容量データを書き込む際に影響を受ける可能性があります。
  
  ※3.6、3.5、3.4、3.3、3.0のFIPSモジュールは、この問題の影響を受けません。
  ※OpenSSL 3.6、3.5、3.4、3.3、3.0、1.1.1および1.0.2は、この問題に対して脆弱です。
  CVSSベーススコア：4.7

• CVEID:CVE-2025-69418
  AES-NIまたはその他のハードウェア・アクセラレーション対応コードパスで低レベルOCB APIを直接使用する場合、長さが16バイトの倍数ではない入力データについて、メッセージの末尾にある1～15バイトが暗号化時に平文で露出する可能性があります。この1～15バイト部分は、認証タグの対象外となるため、攻撃者は検出されることなくこの1～15バイト部分を読み取ることや改ざんすることが可能になります。
  
  ※3.6、3.5、3.4、3.3、3.0のFIPSモジュールは、この問題の影響を受けません。
  ※OpenSSL 3.6、3.5、3.4、3.3、3.0および1.1.1は、この問題に対して脆弱です。OpenSSL 1.0.2は、この問題の影響を受けません。
  CVSSベーススコア：4

• CVEID:CVE-2025-69419
  非ASCIIのBMPコードポイントを含むBMPString（UTF-16BE）形式のフレンドリーネームを持つ、悪意を持って作成されたPKCS#12ファイルに対してPKCS12_get_friendlyname()関数を呼び出すと、割り当てられたバッファの先頭より1バイト手前に書き込みが行われる可能性があります。この範囲外書き込みによりメモリー破損が発生し、サービス拒否（DoS）を含む様々な悪影響が生じる可能性があります。
  
  攻撃者がこの脆弱性を悪用するには、アプリケーションに解析させる悪意のあるPKCS#12ファイルを用意し、割り当てられたバッファの前に1バイトのゼロを書き込むだけで済みます。
  
  ※3.6、3.5、3.4、3.3、3.0のFIPSモジュールは、この問題の影響を受けません。
  ※OpenSSL 3.6、3.5、3.4、3.3、3.0および1.1.1は、この問題に対して脆弱です。OpenSSL 1.0.2は、この問題の影響を受けません。
  CVSSベーススコア：7.4

• CVEID:CVE-2025-69420
  タイムスタンプ応答検証コードに型混同の脆弱性が存在します。この脆弱性は、ASN1_TYPEユニオンメンバーに対して、事前に型検証を行わずにアクセスしてしまうことに起因し、不正な形式のタイムスタンプ応答ファイルを処理する際に、無効なポインタまたはNULLポインタへの参照を引き起こします。TS_RESP_verify_response() 関数を呼び出すアプリケーションは、タイムスタンプ応答の読み取り時に無効なポインタまたはNULLポインタを参照させられ、サービス拒否（DoS）が発生する可能性があります。
  
  ※3.5、3.4、3.3、3.0のFIPSモジュールは、この問題の影響を受けません。
  ※OpenSSL 3.6、3.5、3.4、3.3、3.0および1.1.1は、この問題に対して脆弱です。OpenSSL 1.0.2は、この問題の影響を受けません。
  CVSSベーススコア：7.5

• CVEID:CVE-2025-69421
  不正な形式のPKCS#12ファイルを処理すると、PKCS12_item_decrypt_d2i_ex()関数内でNULLポインタ参照が発生する可能性があります。NULLポインタ参照が発生すると、クラッシュを引き起こし、PKCS#12ファイルを処理しているアプリケーションでサービス拒否（DoS）状態となる可能性があります。
  
  ※3.6、3.5、3.4、3.3、3.0のFIPSモジュールは、この問題の影響を受けません。
  ※OpenSSL 3.6、3.5、3.4、3.3、3.0および1.1.1は、この問題に対して脆弱です。OpenSSL 1.0.2は、この問題の影響を受けません。
  CVSSベーススコア：7.5

• CVEID:CVE-2026-22795
  PKCS#12 解析コードに型混同の脆弱性が存在します。PKCS#12ファイルを処理するアプリケーションにおいて、不正な形式のファイルを処理した際に、無効なポインターまたはNULLポインターを参照させられる可能性があります。その結果、サービス拒否（DoS）が発生する可能性があります。
  
  ※3.5、3.4、3.3、3.0のFIPSモジュールは、この問題の影響を受けません。
  ※OpenSSL 3.6、3.5、3.4、3.3、3.0および1.1.1は、この問題に対して脆弱です。OpenSSL 1.0.2は、この問題の影響を受けません。
  CVSSベーススコア：5.5

• CVEID:CVE-2026-22796
  署名付きPKCS#7データの署名検証において、ASN1_TYPEユニオンメンバーに、事前に型を検証せずにアクセスしてしまうという型混同の脆弱性が存在します。これにより、不正な形式のPKCS#7データの読み取り時に無効なポインタまたはNULLポインタを参照させられ、その結果、サービス拒否（DoS）が発生する可能性があります。
  
  ※3.5、3.4、3.3、3.0のFIPSモジュールは、この問題の影響を受けません。
  ※OpenSSL 3.6、3.5、3.4、3.3、3.0、1.1.1および1.0.2は、この問題に対して脆弱です。
  CVSSベーススコア：5.3

影響を受ける製品とバージョン：IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、、IBM i 7.2

適用が推奨される修正ファイル：IBMは、この脆弱性への対応を早急に行うことを強く推奨します。

IBMは、影響を受ける製品のサポート対象外バージョンを実行しているユーザーに対し、影響を受ける製品のサポート対象かつ修正済みのバージョンへのアップグレードを推奨します。

原文：IBM i is affected by multiple vulnerabilities in OpenSSL.

2026年3月17日

サマリー：IBM iにサービス拒否（DoS）の脆弱性が確認されました。

脆弱性の詳細

• CVEID:CVE-2026-1376
  IBM i は、リソースの不適切な割り当てにより、認証失敗した接続を利用してリモートの攻撃者がサービス拒否（DoS）を引き起こす可能性があります。
  CVSSベーススコア：7.5

影響を受ける製品とバージョン：IBM i 7.6

適用が推奨される修正ファイル：IBMは、この脆弱性への対応を早急に行うことを強く推奨します。

原文：IBM i is affected by a denial of service vulnerability

2026年3月4日

サマリー：複数の脆弱性により、IBM Java SDKおよびIBM i 向け IBM Java Runtimeは、サービス拒否（DoS）攻撃を引き起こしたり、JNI関数が不正な値の長さを返す可能性があります。

脆弱性の詳細

• CVEID:CVE-2024-21217
  Java SEのシリアライゼーション・コンポーネントにおける脆弱性です。認証されていない攻撃者が、複数のプロトコルを介してネットワークにアクセスしてJava SEを侵害する可能性があります。この脆弱性を悪用した攻撃が成功すると、部分的なサービス拒否（DoS）攻撃を引き起こす権限が不正に付与される可能性があります。
  CVSSベーススコア：3.7

• CVEID:CVE-2024-21208
  Java SEのネットワーキング・コンポーネントにおける脆弱性です。認証されていない攻撃者が、複数のプロトコルを介してネットワークにアクセスしてJava SEを侵害する可能性があります。この脆弱性を悪用した攻撃が成功すると、部分的なサービス拒否（DoS）攻撃を引き起こす権限が不正に付与される可能性があります。
  CVSSベーススコア：3.7

• CVEID:CVE-2024-10917
  バージョン 0.47までのEclipse OpenJ9における脆弱性で、JNI関数GetStringUTFLengthが値をラップして誤った値を返す可能性があります。バージョン0.48以降では値は正しいものになりますが、より少ない文字数に切り詰められる場合があります。
  CVSSベーススコア：5.3

影響を受ける製品とバージョン：IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル：この問題は、最新のJava PTFを適用することで解決できます。

原文：IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to a partial denial of service and a JNI function returning incorrect value length due to multiple vulnerabilities.

2026年2月20日

サマリー：IBM Db2 Mirror for iは、Angularの影響によりクロスサイト・スクリプティングおよびクロスサイト・リクエスト・フォージェリに対して脆弱です

脆弱性の詳細

• CVEID:CVE-2025-66412
  バージョン21.0.2、20.3.15、19.2.17以前のAngularテンプレート・コンパイラーに、保存型クロスサイト・スクリプティング（XSS）脆弱性が確認されました。これはコンパイラーの内部セキュリティー・スキーマが不完全であるため発生し、攻撃者がAngularの組み込みセキュリティー・サニタイズの迂回を可能にします。具体的には、スキーマが特定のURL保持属性を厳格なURLセキュリティーを必要とするものとして分類できず、悪意のあるスクリプトの注入を可能にします。この脆弱性は21.0.2、20.3.15、および19.2.17で修正されています。
  CVSSベーススコア：8.5

• CVEID:CVE-2026-22610
  バージョン19.2.18、20.3.16、21.0.7、21.1.0-rc.0以前のバージョンにおいて、Angularテンプレート・コンパイラーにクロスサイト・スクリプティング（XSS）の脆弱性が確認されました。この脆弱性は、Angularの内部サニタイズ・スキーマがSVGスクリプト要素のhref属性およびxlink:href属性をリソースURLコンテキストとして認識しないことに起因します。この問題はバージョン19.2.18、20.3.16、21.0.7、および21.1.0-rc.0で修正済みです。
  CVSSベーススコア：8.5

• CVEID:CVE-2025-66035
  バージョン19.2.16、20.3.14、21.0.1より前のバージョンでは、Angular HTTPクライアントにおいてプロトコル相対URLを介したXSRFトークンの漏洩が発生します。この脆弱性はアプリケーション・ロジックによる認証情報漏洩であり、クロスサイト・リクエスト・フォージェリ（XSRF）トークンが攻撃者が制御するドメインに不正に開示される可能性があります。AngularのHttpClientには組み込みのXSRF保護メカニズムがあり、リクエストURLがプロトコル（http://またはhttps://）で始まるかどうかを確認することでクロス・オリジン・リクエストかどうかを判定します。URLがプロトコル相対URL（//）で始まる場合、誤って同一オリジン・リクエストとして扱われ、XSRFトークンが自動的にX-XSRF-TOKENヘッダーに追加されます。この問題はバージョン19.2.16、20.3.14、21.0.1で修正済みです。
  CVSSベーススコア：7.7

影響を受ける製品とバージョン：IBM Db2 Mirror for i 7.4、IBM Db2 Mirror for i 7.5、IBM Db2 Mirror for i 7.6

適用が推奨される修正ファイル

原文：IBM Db2 Mirror for i is vulnerable to cross-site scripting and cross-site request forgery due to Angular .

2026年2月20日

サマリー：IBM iは、Digital Certificate ManagerおよびNavigator for iにおけるクロスサイト・リクエスト・フォージェリおよびクロスサイト・スクリプティングの影響を受けます。

脆弱性の詳細

• CVEID:CVE-2025-66035
  バージョン19.2.16、20.3.14、21.0.1より前のバージョンでは、Angular HTTPクライアントにおいてプロトコル相対URL経由でXSRFトークンが漏洩する脆弱性が存在します。この脆弱性はアプリケーション・ロジックによる認証情報漏洩であり、クロスサイト・リクエスト・フォージェリ（XSRF）・トークンが攻撃者が制御するドメインに不正に開示される可能性があります。AngularのHttpClientには組み込みのXSRF保護メカニズムがあり、リクエストURLがプロトコル（http://またはhttps://）で始まるかどうかを確認することでクロス・オリジン・リクエストかどうかを判定します。URLがプロトコル相対URL（//）で始まる場合、誤って同一オリジン・リクエストとして扱われ、XSRFトークンが自動的にX-XSRF-TOKENヘッダーに追加されます。この問題はバージョン19.2.16、20.3.14、21.0.1で修正済みです。
  CVSSベーススコア：7.7

• CVEID:CVE-2026-22610
  バージョン19.2.18、20.3.16、21.0.7、21.1.0-rc.0より前のバージョンにおいて、Angularテンプレート・コンパイラにクロス・サイト・スクリプティング（XSS）脆弱性が確認されました。この脆弱性は、Angularの内部サニタイズ・スキーマがSVGスクリプト要素のhref属性およびxlink:href属性をリソースURLコンテキストとして認識しないことに起因します。この問題はバージョン19.2.18、20.3.16、21.0.7、および21.1.0-rc.0で修正済みです。
  CVSSベーススコア：8.5

• CVEID:CVE-2025-13465
  Lodashバージョン4.0.0から4.17.22は、_.unsetおよび_.omit関数におけるプロトタイプ汚染の脆弱性があります。攻撃者は、Lodashがグローバル・プロトタイプからメソッドを削除する原因となる細工されたパスを渡すことが可能です。この問題はプロパティーの削除を許可しますが、元の動作を上書きすることはできません。この問題はバージョン4.17.23で修正されています。
  CVSSベーススコア：5.3

• CVEID:CVE-2025-66412
  バージョン21.0.2、20.3.15、19.2.17より前のAngularテンプレート・コンパイラーにおいて、保存型クロス・サイト・スクリプティング（XSS）脆弱性が確認されました。これはコンパイラーの内部セキュリティー・スキーマが不完全であるため発生し、攻撃者がAngularの組み込みセキュリティー・サニタイズを迂回することを可能にします。具体的には、スキーマが特定のURL保持属性（例：javascript: URLを含む可能性のある属性）を厳格なURLセキュリティーを必要とするものとして分類できず、悪意のあるスクリプトの注入を可能にします。この脆弱性は21.0.2、20.3.15、19.2.17で修正されています。
  CVSSベーススコア：8.5

影響を受ける製品とバージョン：IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル：この問題は、IBM iにPTFを適用することで解決できます。

IBM i

IBMは、影響を受ける製品のサポート対象外バージョンを実行しているユーザーに対し、影響を受ける製品のサポート対象かつ修正済みのバージョンへのアップグレードを推奨します。

原文：IBM i is affected by Cross-Site Request Forgery and Cross-Site Scripting in Digital Certificate Manager and Navigator for i.

2026年2月17日

サマリー：IBM iは、Db2 JSON Store Technology Previewにおけるサービス拒否の脆弱性の影響を受けます

脆弱性の詳細

• CVEID:CVE-2025-66453
  RhinoはJavaで完全に記述されたJavaScriptのオープンソース実装です。バージョン 1.8.1、1.7.15.1、および 1.7.14.1より以前の場合、攻撃者が制御する浮動小数点数を、アプリケーションがtoFixed() 関数に渡すと、CPU使用率の急上昇やサービス拒否攻撃が生じる可能性があります。小数値はこのコールスタックを経由します：NativeNumber.numTo DToA.JS_dtostr DToA.JS_dtoa DToA.pow5mult。ここで、pow5multは、5を不合理な累乗にしようとする処理を行います。
  CVSSベーススコア：5.5

影響を受ける製品とバージョン：IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル

原文：IBM i is affected by denial of service vulnerabilities in Db2 JSON Store Technology Preview.

2026年2月5日

サマリー：IBMハードウェア・セキュリティー・モジュール(HSM) とのインターフェースに使用されるIBM共通暗号アーキテクチャー(CCA)には、カードおよびカードを利用するアプリケーションに対して、機密性、完全性、可用性に重大な影響を及ぼすセキュリティー上の脆弱性が存在します。

脆弱性の詳細

• CVEID:CVE-2025-13375
  IBM共通暗号アーキテクチャー(CCA)の脆弱性により、認証されていないユーザーが、システム上で昇格された権限で任意のコマンドを実行できる可能性があります。
  CVSSベーススコア：9.8

影響を受ける製品とバージョン

IBM は、最新のファームウェア・レベルにアップグレードすることで、今すぐこの脆弱性に対処することを強く推奨します。

適用が推奨される修正ファイル：この問題は、IBM iにPTFを適用することで解決できます。

IBM i

IBM 4769 Developers Toolkit
IBM 4769 CCA Softwareダウンロードページからバージョン 7.5.53をダウンロードし、基盤となる CCA インストールを更新する必要があります。

原文：Vulnerability in IBM’s Common Cryptographic Architecture (CCA).

2026年1月13日

サマリー：IBM i Access Client Solutionsは、PDFファイル内に細工されたXFAファイルを挿入することで、攻撃者がXML外部エンティティーインジェクション（XXE)を実行できる脆弱性があります。

脆弱性の詳細

• CVEID:CVE-2025-66516
  Apache Tika tika-core (1.13-3.2.1)、tika-pdf-module (2.0.0-3.2.1)、tika-parsers (1.13-1.28.5) モジュールにおける重大なXXE脆弱性です。
  ※ 脆弱性の侵入経路はtika-parser-pdf-module。脆弱性自体とその修正はtika-coreに存在。1.x バージョンの Tika リリースにおいて、PDFParserは「org.apache.tika:tika-parsers」モジュールに含まれる。
  CVSSベーススコア：9.8

影響を受ける製品とバージョン：IBM i Access Family 1.1.9.8 – 1.1.9.10

適用が推奨される修正ファイル：この問題は、バージョン1.1.9.11以降にアップグレードすることで修正できます。

IBM i Access Client Solutions の最新バージョンを入手する方法

• Downloadsから入手
• Entitled Systems Support(ESS) のIBM iソフトウェアサイトからダウンロード
• IBM iにPTFを適用することで利用可能

原文：IBM i Access Client Solutions is vulnerable to an attacker carrying out an XML External Entity injection via a crafted XFA file inside of a PDF.

2025年12月30日

サマリー：IBM i は、IBM Java SDKおよびIBM Java Runtimeにおける機密情報の漏洩および不適切なアクセス制御の脆弱性の影響を受けます。

脆弱性の詳細

IBM i が Javaアプリケーションの構築と実行をサポートするために使用するIBM SDK Java Technology EditionおよびIBM Runtime Environment Javaは、JAXPコンポーネントのAPIを使用したデータへの不正アクセスおよびセキュリティー・コンポーネントのAPIを使用したデータの作成、削除、または変更アクセスに対して脆弱です。
• CVEID:CVE-2025-53066
  Java SE のJAXPコンポーネントに関連する未特定の脆弱性により、リモートの攻撃者が機密性への影響を引き起こす可能性があります。整合性への影響および可用性への影響はありません。
  CVSSベーススコア：7.5
• CVEID:CVE-2025-53057
  Java SEのセキュリティー・コンポーネントに関連する未特定の脆弱性により、リモート攻撃者が整合性に重大な影響を及ぼす可能性があります。機密性への影響および可用性への影響はありません。
  CVSSベーススコア：5.9

影響を受ける製品とバージョン：IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル：この問題は、PTFを適用することで解決できます。

IBMでは、上記の表にある全てのPTFを含む最新のPTFを全て受け取るために、5770-JV1 PTFグループをインストールすることを推奨しています。

IBMは、影響を受ける製品のサポートされていないバージョンを実行しているお客様に、サポート対象かつ修正されたバージョンにアップグレードすることを推奨します。

原文：IBM i is affected by exposure of sensitive information and improper access control vulnerabilities in IBM Java SDK and IBM Java Runtime

2025年12月18日

サマリー：IBM i のNavigator for i は、ブラウザー・エディターの使用時に、クロスサイトスクリプトに対して脆弱性があります。

脆弱性の詳細

• CVEID:CVE-2024-47875
  DOMPurifyは、HTML、MathML、SVG向けのDOM専用で超高速かつ超高耐性のXSSサニタイザーです。DOMpurifyはネストベースのmXSSに対して脆弱でした。この脆弱性は2.5.0および3.1.3で修正されています。
  CVSSベーススコア：6.1

影響を受ける製品とバージョン：IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3

適用が推奨される修正ファイル：この問題は、PTFを適用することで解決できます。

原文：IBM i is affected by a cross-site scripting vulnerability in Navigator for i.

2025年12月12日

サマリー：IBM i 用のOpenSSLは、パスワードベースの暗号化によって暗号化されたCMSメッセージを復号する際に、範囲外読み取りおよび書き込みに対して脆弱です。

脆弱性の詳細

• CVEID:CVE-2025-9230
  この範囲外読み取りはクラッシュを引き起こす可能性があり、アプリケーションのサービス拒否（DoS）につながる恐れがあります。範囲外書き込みはメモリー破損を引き起こす可能性があり、サービス拒否や攻撃者が提供したコードの実行など、様々な結果を招く恐れがあります。
  CVSSベーススコア：7.5

影響を受ける製品とバージョン：IBM i 7.6、IBM i 7.5、IBM i 7.4、IBM i 7.3、IBM i 7.2

適用が推奨される修正ファイル：この問題は、PTFを適用することで解決できます。

原文：IBM i is affected by an out-of-bounds read and write in OpenSSL.

2025年12月10日

サマリー：IBM OmniFind Text Search Server for DB2 for i は、オーバーフロー攻撃、XML外部エンティティ参照の不適切な制限攻撃、制御されていないリソース消費攻撃、不適切な無効化攻撃に対して脆弱です。

脆弱性の詳細

• CVEID:CVE-2017-15691
  Apache uimaj(2.10.2より前のバージョン)、Apache uimaj 3.0.0-xxx(3.0.0-betaより前のバージョン)、Apache uima-as(2.10.2より前のバージョン)、Apache uimaFIT(2.4.0より前のバージョン)、Apache uimaDUCC(2.2.2以前より前のバージョン)において、この脆弱性は様々なXMLパーサーのXML外部エンティティ拡張(XXE)機能に関連しています。UIMAは設定や運用の過程で様々なソースからXMLを読み取ることがあり、それが汚染されてローカルファイルやその他の内部コンテンツの意図しない漏洩を引き起こす可能性があります。
  CVSSベーススコア：7.5
• CVEID:CVE-2024-47072
  XStreamは、オブジェクトをXMLにシリアライズし、またXMLに戻すためのシンプルなライブラリです。この脆弱性により、XStreamがBinaryStreamDriverを使用するように設定されている場合、処理された入力ストリームを操作することで、リモート攻撃者はスタックオーバーフローエラーでアプリケーションを終了させ、サービス拒否攻撃を実行できる可能性があります。XStream 1.4.21は、バイナリ入力ストリームの操作によるスタックオーバーフローを検出し、代わりにInputManipulationExceptionを発生させるようパッチが適用されています。ユーザーにはアップグレードを推奨します。
  CVSSベーススコア：7.5
• CVEID:CVE-2024-45492
  2.6.3以前のlibexpatで問題が見つかりました。xmlparse.cのnextScaffoldPartには、32ビット・プラットフォーム上の m_groupSize の整数オーバーフローが発生する可能性があります(UINT_MAXはSIZE_MAXに等しい)。
  CVSSベーススコア：9.8
• CVEID:CVE-2024-25269
  libheif（1.17.6以上）には JpegEncoder::Encode 関数にメモリーリークの脆弱性が存在します。この脆弱性により、攻撃者はサービス拒否攻撃を引き起こす可能性があります。
  CVSSベーススコア：5.3
• CVEID:CVE-2024-36052
  Windows版RARLAB WinRAR 7.00より前のバージョンでは、ANSIエスケープシーケンスを用いて攻撃者が画面出力を偽装できる可能性があります。これは、CVE-2024-33899とは異なる問題です。
  CVSSベーススコア：6.5

影響を受ける製品とバージョン：IBM OmniFind テキスト検索サーバー for DB2 for i 1.7、IBM OmniFind テキスト検索サーバー for DB2 for i 1.6、IBM OmniFind テキスト検索サーバー for DB2 for i 1.5

適用が推奨される修正ファイル

原文：IBM OmniFind Text Search Server for DB2 for i is affected by multiple vulnerabilities.