2025年8月22日、IBMはEngineering Lifecycle Management(ELM)基盤のJazz Team Server(JTS)に未認証で悪用可能な重大な脆弱性 CVE-2025-36157(CVSS 9.8)を公表し、修正を含むメンテナンスリリース(iFix)を提供しています。
本件はリモートの第三者がサーバ設定ファイル(プロパティ)を書き換え、不正操作を経てサービス拒否(DoS)に至るリスクがあるものです。ワークフロー管理、テスト管理、要件管理などJTSを土台に動く複数製品が影響を受けます。
影響範囲(対象バージョン/製品)
影響バージョン(いずれも未満が対象)
-
7.0.2:iFix035
-
7.0.3:iFix018
-
7.1.0:iFix004
影響製品(抜粋)
-
IBM Engineering Lifecycle Management – Jazz Foundation(JTS)
-
Engineering Workflow Management / Test Management
-
Engineering Requirements Management DOORS Next
-
Engineering Lifecycle Optimization – Engineering Insights
-
Engineering Systems Design Rhapsody – Model Manager
-
Jazz Reporting Service
-
Global Configuration Management
リスクと想定される悪用
本脆弱性は認証不要で到達可能な点が最も危険です。攻撃者はJTSのプロパティを書き換え、管理フローの迂回や不正動作の誘発、最終的にサーバ停止や広範なサービス影響(DoS)を引き起こす可能性があります。JTSはELM群の共通基盤であるため、単一サーバの妨害が連鎖的に開発・テスト・要件管理の各アプリへ波及し得ます。
対応(パッチ適用と追加設定)
IBMは以下のセキュリティiFixの適用を強く推奨しています。ELM 7.0/7.0.1以前は7.0.2以降へアップグレード後にiFix適用が必要です。
-
7.0.2 系:7.0.2 iFix035-sec 以降
-
7.0.3 系:7.0.3 iFix018-sec 以降
-
7.1.0 系:7.1.0 iFix004-sec 以降
追加の必須設定(パッチ後に実施)
代替策や恒久的なワークアラウンドは提供されていません。速やかなアップデートが唯一の実効対策です。
-
JTS 管理画面 → Server Administration → Advanced properties:
setup.isRegistrationHandlerServiceOpenを False に設定し保存。








