Security Bulletin: IBM Java Updates to Address Latest Vulnerabilities
Summary
This update addresses recent vulnerabilities found in the Java Runtime Environment (JRE). It addresses the following CVEs: CVE-2025-50106, CVE-2025-30749, CVE-2025-30761, and CVE-2025-30754.
Yhteenveto
Tämä päivitys korjaa Java Runtime Environment (JRE) -ympäristössä äskettäin löydetyt haavoittuvuudet. Se korjaa seuraavat CVE-haavoittuvuudet: CVE-2025-50106, CVE-2025-30749, CVE-2025-30761 ja CVE-2025-30754.
Vulnerability Details
CVEID: CVE-2025-50106
DESCRIPTION: Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: 2D). Supported versions that are affected are Oracle Java SE: 8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1; Oracle GraalVM for JDK: 17.0.15, 21.0.7 and 24.0.1; Oracle GraalVM Enterprise Edition: 21.3.14. Vulnerabilities allows unauthenticated attackers with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in takeover of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Note: This vulnerability can be exploited by using APIs in the specified Component, e.g., through a web service which supplies data to the APIs. This vulnerability also applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. CVSS 3.1 Base Score 8.1 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).
CVSS Source:
CVSS Base score: 8.1
CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
CVEID: CVE-2025-30749
DESCRIPTION: Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: 2D). Supported versions that are affected are Oracle Java SE: 8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1; Oracle GraalVM for JDK: 17.0.15, 21.0.7 and 24.0.1; Oracle GraalVM Enterprise Edition: 21.3.14. Vulnerabilities allows unauthenticated attackers with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in takeover of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 8.1 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).
CVSS Source:
CVSS Base score: 8.1
CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
CVEID: CVE-2025-30761
DESCRIPTION: Vulnerability in the Oracle Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Scripting). Supported versions that are affected are Oracle Java SE: 8u451, 8u451-perf and 11.0.27; Oracle GraalVM Enterprise Edition: 21.3.14. Vulnerabilities allows unauthenticated attackers with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Java SE, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability can be exploited by using APIs in the specified Component, e.g., through a web service which supplies data to the APIs. This vulnerability also applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. CVSS 3.1 Base Score 5.9 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N).
CWE: CWE-502: Deserialization of Untrusted Data
CVSS Source:
CVSS Base score: 5.9
CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N)
CVEID: CVE-2025-30754
DESCRIPTION: Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: JSSE). Supported versions that are affected are Oracle Java SE: 8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1; Oracle GraalVM for JDK: 17.0.15, 21.0.7 and 24.0.1; Oracle GraalVM Enterprise Edition: 21.3.14. Vulnerabilities allows unauthenticated attackers with network access via TLS to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data as well as unauthorized read access to a subset of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 4.8 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N).
CWE: CWE-284: Improper Access Control
CVSS Source:
CVSS Base score: 4.8
CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)
Affected Products and Versions
| Affected Product(s) | Version(s) |
| SPSS Statistics | 27.0.1 |
| SPSS Statistics | 28.0.1 |
| SPSS Statistics | 29.0.2 |
| SPSS Statistics | 30.0.0 |
| SPSS Statistics | 31.0.0 |
Instructions in english
Uncompress and unzip the JRE fix below into a temporary folder and read the Readme.txt file for detailed instructions in english for the following operating systems; Linux64, MacOS, pLinux64, Win64, zLinux64,
Asennusohje suomeksi - Windows:
more
1) Sulje Statistics
2) Tarkista mikä Statistics versio sinulla on käytössä ja valitse alta oikea versio.
Pura alla oleva JRE-korjaus väliaikaiseen kansioon
3) Siirrä Statistics asennuskansiossa oleva JREkansio (C:\Program Files\IBM\SPSS Statistics\) väliaikaiseen varmuuskopiokansioon, asennuskansion ulkopuolelle. (Tämä on pelkkä varotoimenpide)
4) Siirrä purettu JRE-kansio kansioon C:\Program Files\IBM\SPSS Statistics\.
(Huomaa: Jos Statistics asennushakemistosi eroaa annetusta oletusasennuspolusta, käytä omaa paikallista asennushakemistoasi annetun oletuspolun sijaan)
Statistics on nyt käyttövalmis.
Asennusohje suomeksi - Mac:
more
1) Sulje Statistics
2) Tarkista mikä Statistics versio sinulla on käytössä ja valitse alta oikea versio.
Pura JRE-korjaus väliaikaiseen kansioon
3) Siirrä Statistics asennuskansiossa oleva JRE kansio väliaikaiseen varmuuskopiokansioon, asennuskansion ulkopuolelle. (Tämä on pelkkä varotoimenpide)
4) Siirrä purettu JRE hakemisto /Applications/IBM SPSS Statistics/SPSS Statistics.app/Contents hakemistoon.
5) Varmista että kaikilla tiedostoilla on oikeat käyttöoikeudet Statistics hakemistoon "[INSTALLDIR]/JRE" (kuten chmod 755)
(Huomaa: Jos Statistics asennushakemistosi eroaa annetusta oletusasennuspolusta, käytä omaa paikallista asennushakemistoasi annetun oletuspolun sijaan)
Statistics on nyt käyttövalmis.
Remediation/Fixes
Version 27: 27.0.1.0-IM-S27STAT-ALL-IF033
Version 28: 28.0.1.1-IM-S28STAT-ALL-IF015
Version 29: 29.0.2.0-IM-S29STAT-ALL-IF016
Version 30: 30.0.0.0-IM-S30STAT-ALL-IF011
Version 31: 31.0.0.0-IM-S31STAT-ALL-IF005
Workarounds and Mitigations
None
References
SPSS Modeler aktivoinnin ongelma - korjaus versioon 18.6
IBM SPSS Modeler -lisenssipalvelin on päivitetty vastaamaan vain HTTPS-pyyntöihin.
Kaikki tällä hetkellä tuetut IBM SPSS Modeler License Authorization Wizard -versiot ja muut lisensointikomponentit käyttävät HTTP-protokollaa lisenssien rekisteröintiin. Toisin sanoen SPSS Modeler aktivointi ei enää toimi ilman alla olevaa korjausta.
Tämä korjaus toimii ainoastaan uusimmassa versiossa 18.6.
Mikäli sinulla on tätä vanhempi versio, lähetä meille sähköpostilla koneesi locking code ajamalla echoid.exe asennushakemistossa sekä aktivointikoodisi, niin lähetämme sinulle takaisin lisenssikoodin jota käytät aktivointikoodin sijaan.
Alla oleva korjaus päivittää License Authorization Wizardin HTTPS- versioksi.
18.6.0.0-IM-S18MODELER-WIN64-IF019
Asennusohjeet
=========================
1. Tuotteet, joita korjaus koskee: IBM SPSS Modeler 18.6 -Client
Alustat, joita korjaus koskee: Win64 ja MAC
2. Kuinka korjaus asennetaan:
IBM SPSS Modeler 18.6 [Client]
Windows:
1) Sulje kaikki IBM SPSS Modeler 18.6 -Client sovelluksen instanssit.
(2) Pura tämän väliaikaisen korjauksen sisältävä zip-tiedosto mihin tahansa hakemistoon.
(3) Avaa purettu zip-hakemisto ja avaa alihakemisto ”Windows”.
(4) Etsi tiedosto licenseactivator.jar. Oletusarvoisesti se sijaitsee alihakemistossa (IBM SPSS Modeler -asennushakemisto/bin/) ja tee varmuuskopio nimittämällä tiedostot uudelleen nimellä licenseactivator.jar.bak.
(5) Kopioi väliaikainen korjaus tiedosto licenseactivator.jar alikansioon (asennus).
Mac:
(1) Sulje kaikki IBM SPSS Modeler 18.6 -asiakassovelluksen instanssit.
(2) Pura väliaikaisen korjauksen sisältävä zip-tiedosto mihin tahansa hakemistoon.
(3) Avaa zip-tiedoston purkama hakemisto ja avaa alihakemisto ”Mac”.
(4) Etsi tiedosto licenseactivator.jar. Oletusarvoisesti se sijaitsee IBM SPSS Modeler -asennushakemistossa/Resources/Activation/ -kansiossa. Tee varmuuskopio nimittämällä tiedostot uudelleen nimellä licenseactivator.jar.bak.
(5) Kopioi väliaikainen korjaustiedosto licenseactivator.jar IBM SPSS Modeler -asennushakemistoon/Resources/Activation/.
3. IBM SPSS Modeler 18.6 on nyt käyttövalmis.
more
Asennuksestasi riippuen seuraavat saattaa vaatia käyttäjää jolla on koneen järjestelmänvalvojan oikeudet.
HUOM! Mikäli versiosi on jokin muu kuin 30, vaihda alla olevaan ohjeeseen sen version numero.
(1) Sulje IBM SPSS Amos 30 License Authorization Wizard ja IBM SPSS Amos 30 Commuter License.
(2) Pura tämän väliaikaisen korjauksen sisältävä zip-tiedosto mihin tahansa hakemistoon.
(3) Avaa zip-tiedostosta purettu hakemisto ja avaa kansio "Client/Windows".
(4) Etsi tiedosto licenseactivator.jar. Oletusarvoisesti se sijaitsee alikansiossa (C:\Program Files\IBM\SPSS\Amos\30\) ja ota siitä varmuuskopio nimeämällä tiedostot uudelleen muotoon licenseactivator.jar.bak.
(5) Kopioi väliaikaisen korjauksen tiedosto licenseactivator.jar Amos asennuskansioon.(
(6) IBM SPSS Statistics AMOS 30.0 on nyt käyttövalmis.
SPSS Modeler authorization problem
The IBM SPSS Modeler license server has been updated to answer only to HTTPS requests. All currently supported versions of IBM SPSS Modeler License Authorization Wizard and other licensing components use the HTTP protocol to register licenses. This will no longer work.
There is a fix for the newest version of Modeler, 18.6 above. The IBM SPSS Modeler Traditional On-Prem license server has been updated to answer only to HTTPS requests. Older versions of IBM SPSS Modeler License Authorization Wizard and other licensing components ('licenseactivator.exe') were using HTTP protocol to register licenses. This will no longer work.
If you need to activate an older version, please email us your lock code by running echoid.exe in your modeler installation directory and email the result to us along with your authorization code and we will email you back a license code with instructions.
How to apply the hot fix
more
Installation instructions
=========================
1. Products affected: IBM SPSS Modeler 18.6 client
Platforms affected: Win64 and MAC
2. How to apply the hot fix:
IBM SPSS Modeler 18.6 [Client]
---------------------------------
Windows:
(1) Close all instances of the IBM SPSS Modeler 18.6 client application.
(2) Unzip the zip file containing this interim fix to any directory.
(3) Open zip extracted directory and open sub folder "Windows".
(4) Locate the file licenseactivator.jar. By default, it is under subfolder (IBM SPSS Modeler Installation directory/bin/) and take up a back up by renaming the files to licenseactivator.jar.bak.
(5) Copy the interim fix file licenseactivator.jar to the subfolder(installation).
Mac:
(1) Close all instances of the IBM SPSS Modeler 18.6 client application.
(2) Unzip the zip file containing this interim fix to any directory.
(3) Open zip extracted directory and open sub folder "Mac".
(4) Locate the file licenseactivator.jar. By default, it is under IBM SPSS Modeler Installation directory/Resources/Activation/ folder and take up a back up by renaming the files to licenseactivator.jar.bak.
(5) Copy the interim fix file licenseactivator.jar to IBM SPSS Modeler Installation directory/Resources/Activation/.
3. IBM SPSS Modeler 18.6 is now ready to be used.
SPSS Amos Authorization problem - SPSS Amos aktivoinnin ongelma
IBM SPSS Amos -lisenssipalvelin on päivitetty vastaamaan vain HTTPS-pyyntöihin.
Kaikki tällä hetkellä tuetut IBM SPSS Amosin License Authorization Wizard -versiot ja muut lisensointikomponentit käyttävät HTTP-protokollaa lisenssien rekisteröintiin. Toisin sanoen SPSS Amos aktivointi ei enää toimi ilman alla olevaa korjausta.
Alla oleva korjaus päivittää License Authorization Wizardin HTTPS- versioksi.
Asennusohjeet
more
Asennuksestasi riippuen seuraavat saattaa vaatia käyttäjää jolla on koneen järjestelmänvalvojan oikeudet.
HUOM! Mikäli versiosi on jokin muu kuin 30, vaihda alla olevaan ohjeeseen sen version numero.
(1) Sulje IBM SPSS Amos 30 License Authorization Wizard ja IBM SPSS Amos 30 Commuter License.
(2) Pura tämän väliaikaisen korjauksen sisältävä zip-tiedosto mihin tahansa hakemistoon.
(3) Avaa zip-tiedostosta purettu hakemisto ja avaa kansio "Client/Windows".
(4) Etsi tiedosto licenseactivator.jar. Oletusarvoisesti se sijaitsee alikansiossa (C:\Program Files\IBM\SPSS\Amos\30\) ja ota siitä varmuuskopio nimeämällä tiedostot uudelleen muotoon licenseactivator.jar.bak.
(5) Kopioi väliaikaisen korjauksen tiedosto licenseactivator.jar Amos asennuskansioon.(
(6) IBM SPSS Statistics AMOS 30.0 on nyt käyttövalmis.
SPSS AMOS authorization problem
The IBM SPSS Amos license server has been updated to answer only to HTTPS requests. All currently supported versions of IBM SPSS Amos' License Authorization Wizard and other licensing components use the HTTP protocol to register licenses. This will no longer work.
The fix below will update your Authorization Wizard to a HTTPS
How to apply the hot fix
more
Depending upon your installation, the following may require a user with machine administrative rights.
IBM SPSS Statistics AMOS 30.0 [Client]
NOTE: If you are applying the fix to some other version of AMOS than 30, please replace the version number below with the correct one.
---------------------------------
Windows:
(1) Close the IBM SPSS Amos 30 License Authorization Wizard and the IBM SPSS Amos 30 Commuter License.
(2) Unzip the zip file containing this interim fix to any directory.
(3) Open zip extracted directory and open sub folder "Client/Windows".
(4) Locate the file licenseactivator.jar. By default, it is under subfolder (C:\Program Files\IBM\SPSS\Amos\30\) and take up a back up by renaming the files to licenseactivator.jar.bak.
(5) Copy the interim fix file licenseactivator.jar to the subfolder(installation).
(6) IBM SPSS Statistics AMOS 30.0 is now ready to be used.
Korjauspäivitykset
Security Bulletin
IBM Java Updates to Address Latest Vulnerabilities
Update JRE for Older Versions of IBM SPSS Statistics
Vanhempien versioiden aktivointi
SPSS AMOS aktivointi (activation/authorization)
SPSS Statistics ver 28 & 27 aktivointi (activation/authorization)
SPSS Modeler aktivointi (activation/authorization)