IBMは9月26日、IBM i向けの「IBM WebSphere Application Server Liberty」がDoS(サービス拒否)攻撃を受ける恐れのある脆弱性がある、と発表した。
IBM i向け「IBM WebSphere Application Server Liberty」には、特別に細工されたリクエストを送信されるとサーバーが過剰なメモリリソースを消費する、DoS(サービス拒否)攻撃を受ける恐れがある[CVE-2025-36097, CVE-2025-36047]。
また、Webブラウザからのファイルアップロード機能を実装するためのライブラリ「Apache Commons FileUpload」に、マルチパートヘッダーのリソース割り当てに不十分な制限があるために、DoS(サービス拒否)攻撃となる脆弱性も存在する [CVE-2025-48976] 。
影響を受けるOSバージョンは、
IBM i 7.6
IBM i 7.5
IBM i 7.4
IBM i 7.3
IBM i 7.2
以下の脆弱性が指摘されている。
CVE-2025-36097
IBM WebSphere Application Server 9.0とWebSphere Application Server Liberty 17.0.0.3 ~ 25.0.0.7は、スタックベースのオーバーフローによりDoS(サービス拒否)攻撃を受ける恐れがある。
CVSS 基本スコア:7.5(高)
CVE-2025-36047
IBM WebSphere Application Server Liberty 18.0.0.2~25.0.0.8は、特別に細工されたリクエストによりDoS(サービス拒否)攻撃を受ける恐れがある。攻撃者はこの脆弱性を悪用して、サーバーにメモリリソースを消費させる恐れがある。
CVSS 基本スコア:5.3
CVE-2025-48976
マルチパートヘッダーのリソース割り当てに不十分な制限があるために、Apache Commons FileUploadにDoS(サービス拒否)攻撃を受ける恐れがある。
CVSS 基本スコア:7.5(高)
対処法
以下のPTFを適用することにより修正できる。
| IBM i OS | 5770-SS1 Option 3 PTF 番号 | PTF ダウンロード・リンク |
| 7.6 | SJ06595 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06595 |
| 7.5 | SJ06596 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06596 |
| 7.4 | SJ06597 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06597 |
| 7.3 | SJ06599 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06599 |
| 7.2 | SJ06601 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06601 |
・Security Bulletin: IBM i is affected by denial of service vulnerabilities in IBM WebSphere Application Server Liberty [CVE-2025-36097, CVE-2025-36047, CVE-2025-48976]
https://www.ibm.com/support/pages/node/7245934
[i Magazine・IS magazine]
