IBMは今週、自社製品に存在する100件以上の脆弱性に対する修正を発表しました。その中には複数の重大(クリティカル)な脆弱性も含まれており、その大半はサードパーティ製コンポーネントに起因するものです。
Storage Defender には、重大度がクリティカルの欠陥6件に対するパッチが適用されました。いずれも、Storage Defender に含まれる Data Protect 内のサードパーティ製コンポーネントに影響するものです。
これらの脆弱性を悪用されると、サービス拒否(DoS)状態、メモリ破損、任意ファイルの上書き、アプリケーションのクラッシュなどが発生する可能性があります。
別のクリティカルな脆弱性は、IBM Guardium Data Protection における Apache Tomcat サーバーの実装で対処されました。この欠陥は CVE-2025-48913 として追跡されており、コード実行につながる可能性があります。
IBM はまた、Maximo Application Suite で使用されている form-data ライブラリに存在するクリティカルなバグの修正も発表しました。このバグにより、攻撃者がリクエスト内にパラメータを注入できる可能性があります。
Edge Data Collector には、Django Web フレームワークにおけるクリティカルな SQL インジェクションの欠陥に対するパッチが適用されました。
IBM はさらに、Observability with Instana (OnPrem) に存在する多数の脆弱性を修正しました。その中には Tomcat、libxml2、WebKit におけるクリティカルなバグも含まれており、コマンド実行、DoS 状態、プロセスのクラッシュ、その他予期しない動作を引き起こす可能性があります。
Corosync ライブラリにおけるクリティカルな問題は、IBM Db2 向けのセキュリティアップデートで対処されました。この脆弱性は、暗号化が無効化されている場合、または攻撃者が暗号鍵を把握している場合に、プロセスのクラッシュや任意コード実行につながる可能性があります。
さらに、Content Collector、DataPower Operations Dashboard、License Metric Tool、Planning Analytics、Watsonx Subscription、InfoSphere Information Server、StreamSets、Db2 for Linux, UNIX and Windows などにおいても、複数の高および中程度の深刻度の脆弱性が修正されました。
これらの脆弱性および対応するパッチの詳細情報は、IBM のセキュリティ・ブリテンページで確認できます。
翻訳元: https://www.securityweek.com/ibm-patches-over-100-vulnerabilities/
