IBMは10月7日、IBM Java SDKとIBM Java Runtimeに複数の脆弱性があり、IBM iはリモートコードの実行や、信頼されていないデータの復元(デシリアライゼーション)、不適切なアクセス制御を影響を受ける、と発表した。
2025年2月と8月にも、同じ脆弱性に基づくDoS攻撃やスタックベースのバッファオーバーフローや、未特定の脆弱性の影響を受ける、と発表しており、今年3回目のアラートになる。
https://www.imagazine.co.jp/cvs-cve-2025-4447/
影響を受けるOSバージョンは、
IBM i 7.6
IBM i 7.5
IBM i 7.4
IBM i 7.3
以下の脆弱性が指摘されている。
CVE-2025-50106
リモートコードを実行される恐れのある脆弱性で、成功すると対象システム(Oracle Java SEなど)を乗っ取られる可能性がある。API経由で利用されるケースもある(例:WebサービスがAPIにデータを渡す場合など)。さらに、Java Web Startやアプレットのようなサンドボックス環境でも不正コードを実行される恐れがある。
CVS基本スコア: 8.1(機密性・完全性・可用性への高い影響)
CVE-2025-30749
前掲のCVE-2025-30749と同様の脆弱性で、サンドボックス化されたクライアントJava アプリケーション(Java Web Start やアプレット)でコードを読み込む際に悪用される可能性がある。
◎影響を受けるJavaバージョン
Java SE:8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1
GraalVM for JDK:17.0.15, 21.0.7, 24.0.1
GraalVM Enterprise Edition:21.3.14
CVS基本スコア: 8.1
CVE-2025-30761
Oracle Java SEおよび Oracle GraalVM Enterprise Editionに存在する脆弱性で、この脆弱性により、攻撃者が重要なデータの不正な作成・削除・変更を行う恐れがある。る可能性があります。
API 経由の Web サービスなどを通して悪用される場合があります。
◎影響を受けるJavaバージョン
Java SE:8u451, 8u451-perf, 11.0.27
GraalVM Enterprise Edition:21.3.14
CVS基本スコア: 5.9(完全性への影響)
CVE-2025-30754
Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition(コンポーネント: JSSE)における脆弱性で、TLS経由で攻撃される可能性があり、認証されていない攻撃者がデータの不正な更新・挿入・削除や一部データの読み取りを行う可能性がある。
ただし、管理者によってインストールされた信頼済みコードのみを実行するサーバー環境では、通常この脆弱性の影響を受けない。
CVS基本スコア: 4.8 (機密性・完全性への影響)
対処法
以下のPTFを適用することにより修正できる。
・Security Bulletin: IBM i is affected by Remote Code Execution, Deserialization of Untrusted Data, and Improper Access Controls vunlerabilities in IBM Java SDK and IBM Java Runtime [CVE-2025-50106, CVE-2025-30749, CVE-2025-30761, CVE-2025-30754]
https://www.ibm.com/support/pages/node/7247402
[i Magazine・IS magazine]
