IBM已发布安全公告,修复其Jazz Team Server中的高危漏洞。该基于Java的Web应用是IBM工程生命周期管理(ELM)套件多款产品的底层支撑。此漏洞编号为CVE-2025-36157,CVSS评分达9.8分,对依赖该工具的企业构成严重风险。
IBM声明:“Jazz Team Server可能允许未经认证的远程攻击者更新服务器配置文件,从而执行未授权操作,最终导致拒绝服务状态。”
受影响产品及版本
波及范围涵盖下列IBM ELM产品:
- IBM Engineering Lifecycle Management – Jazz Foundation
- IBM Engineering Workflow Management
- IBM Engineering Test Management
- IBM Engineering Requirements Management DOORS Next
- IBM Engineering Lifecycle Optimization – Engineering Insights
- IBM Engineering Systems Design Rhapsody – Model Manager
- IBM Jazz Reporting Service
- Global Configuration Management
受影响版本具体包括:
7.0.2至7.0.2 iFix035 | 7.0.3至7.0.3 iFix018 | 7.1.0至7.1.0 iFix004
IBM紧急呼吁用户行动:“强烈建议立即通过升级至以下iFix修复漏洞”:
7.0.2版本 → 安装 7.0.2 iFix035-sec 或更高版本
7.0.3版本 → 安装 7.0.3 iFix018-sec 或更高版本
7.1.0版本 → 安装 7.1.0 iFix004-sec 或更高版本
使用ELM 7.0、7.0.1或更早版本者需先升级至7.0.2+版本再应用补丁。
除安装补丁外,管理员需执行:在 Jazz Team Server (JTS) > Server Administration > Advanced property 页面,
将高级属性 setup.isRegistrationHandlerServiceOpen 设为 False 并保存。
Jazz Team Server作为IBM ELM生态核心,集成工作流管理、测试管理等关键服务。该漏洞允许攻击者在无凭证状态下直接篡改服务器配置文件,可能导致服务瘫痪或依赖系统连锁受损。
评论 (4)