IBM i ACS に重大な脆弱性！？至急ACS 1.1.9.11にバージョンアップしてください！｜e-bellnet.com（IBM i （AS/400）ユーザーのための関連技術情報サイト）

メニューボタン

HOME サポートチーム便り IBM i 海外記事 IBM i コラム

IBM i 資料集

BELLNETコミュニティ

サポートチーム便り2026.02.12

IBM i ACS に重大な脆弱性！？至急ACS 1.1.9.11にバージョンアップしてください！

Question

IBM i Access Client Solutions（ACS）を起動したら新しいバージョン ACS 1.1.9.11がリリースされていました。

機能追加や何かの不具合修正でしょうか？

Answer

少し前にACS 1.1.9.10 がリリースされたばかりのような気がしますが、2026年1月に新しいバージョンACS 1.1.9.11 が発表されました。

今回は重大な脆弱性に対応したバージョンとしてのリリースのようです。

CVE-2025-66516 の脆弱性と対応に関してはIBMのドキュメントが公開されています。

Security Bulletin: IBM i Access Client Solutions is vulnerable to an attacker carrying out an XML External Entity injection via a crafted XFA file inside of a PDF (CVE-2025-66516)
https://www.ibm.com/support/pages/node/7256985

ACSの「readmespacs.txt」には次の記載があります。

****************************** ATTENTION ******************************

This update includes a critical security fix for CVE-2025-66516

IBM i Access Client Solutions is vulnerable to an attacker carrying out an XML External Entity injection via a crafted XFA file inside of a PDF.
Apache Tika is used by the Run SQL Scripts feature to determine the content type of binary column data in a table on the IBM i.

IBM strongly recommends upgrading to 1.1.9.11, and discontinuing use of versions 1.1.9.8 through 1.1.9.10.

****************************** ATTENTION ******************************

--------------- 機械翻訳 ------------------------------------------------------------
このアップデートには、CVE-2025-66516 に対する重大なセキュリティ修正が含まれています。

IBM i Access Client Solutions は、PDF 内に細工された XFA ファイルを介して攻撃者が XML 外部エンティティ（XML Entity）インジェクションを実行する脆弱性があります。
SQL スクリプト実行機能では、IBM i 上のテーブル内のバイナリ列データのコンテンツタイプを判別するために Apache Tika が使用されます。

IBM は、バージョン 1.1.9.11 へのアップグレードと、バージョン 1.1.9.8 から 1.1.9.10 の使用中止を強く推奨します。
----------------------------------------------------------------------------------------