IBM Jazz Team Serverで重大な脆弱性 CVE-2025-36157

セキュリティニュース

投稿日時: 更新日時:

IBM Jazz Team Serverで重大な脆弱性 CVE-2025-36157

2025年8月22日、IBMはEngineering Lifecycle Management(ELM)基盤のJazz Team Server(JTS)に未認証で悪用可能な重大な脆弱性 CVE-2025-36157(CVSS 9.8)を公表し、修正を含むメンテナンスリリース(iFix)を提供しています。

本件はリモートの第三者がサーバ設定ファイル(プロパティ)を書き換え、不正操作を経てサービス拒否(DoS)に至るリスクがあるものです。ワークフロー管理、テスト管理、要件管理などJTSを土台に動く複数製品が影響を受けます。

影響範囲(対象バージョン/製品)

影響バージョン(いずれも未満が対象)

  • 7.0.2:iFix035

  • 7.0.3:iFix018

  • 7.1.0:iFix004

影響製品(抜粋)

  • IBM Engineering Lifecycle Management – Jazz Foundation(JTS)

  • Engineering Workflow Management / Test Management

  • Engineering Requirements Management DOORS Next

  • Engineering Lifecycle Optimization – Engineering Insights

  • Engineering Systems Design Rhapsody – Model Manager

  • Jazz Reporting Service

  • Global Configuration Management

リスクと想定される悪用

本脆弱性は認証不要で到達可能な点が最も危険です。攻撃者はJTSのプロパティを書き換え、管理フローの迂回や不正動作の誘発、最終的にサーバ停止や広範なサービス影響(DoS)を引き起こす可能性があります。JTSはELM群の共通基盤であるため、単一サーバの妨害が連鎖的に開発・テスト・要件管理の各アプリへ波及し得ます。

対応(パッチ適用と追加設定)

IBMは以下のセキュリティiFixの適用を強く推奨しています。ELM 7.0/7.0.1以前は7.0.2以降へアップグレード後にiFix適用が必要です。

  • 7.0.2 系7.0.2 iFix035-sec 以降

  • 7.0.3 系7.0.3 iFix018-sec 以降

  • 7.1.0 系7.1.0 iFix004-sec 以降

追加の必須設定(パッチ後に実施)

代替策や恒久的なワークアラウンドは提供されていません。速やかなアップデートが唯一の実効対策です。

  • JTS 管理画面 → Server AdministrationAdvanced properties
    setup.isRegistrationHandlerServiceOpenFalse に設定し保存。