IBMは8月7日、IBM Java SDKとIBM Java Runtime for IBM iに複数の脆弱性があり、スタックベースのバッファオーバーフローや、未特定の脆弱性の影響を受ける恐れがある、と発表した。
影響を受けるOSバージョンは、
IBM i 7.6
IBM i 7.5
IBM i 7.4
IBM i 7.3
以下の脆弱性が指摘されている。
CVE-2025-4447
Eclipse Open J9 バージョン0.51までのバージョンにおいて、OpenJDKバージョン 8 と併用した場合、JVM起動時に読み込まれるディスク上のファイルを改変することで、スタックベースのバッファオーバーフローが発生する恐れがある。
CVSS 基本スコア: 9.8(緊急)
CVE-2025-21587
Java SEのServer:DDLコンポーネントに関連して特定されていない脆弱性があり、攻撃者はIBM i上のデータの機密性および完全性に重大な影響を与える恐れがある。
CVSS 基本スコア:7.4(高、重要)
CVE-2025-30698
Java SEの2Dコンポーネントに関連して特定されていない脆弱性があり、攻撃者はIBM i上のデータの機密性および完全性、可用性に影響を与える恐れがある。
CVSS 基本スコア: 5.6(警告)
対処法
以下のPTFを適用することにより修正できる。
| IBM i OS | 5770-JV1 PTF 番号 | PTF ダウンロード・リンク |
|
7.6 |
SJ06025 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06025 |
|
7.5 |
SF99955 Level 16 |
|
|
7.4 |
SF99665 Level 29 |
|
|
7.3 |
SF99725 Level 38 |
Security Bulletin: IBM i is affected by stack based buffer overflow and unspecified vulnerabilities in IBM Java SDK and IBM Java Runtime for IBM i [CVE-2025-21587, CVE-2025-30698, CVE-2025-4447].
https://www.ibm.com/support/pages/node/7241709
[i Magazine・IS magazine]
