この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年11月10日時点の情報です)

CVE-2023-46604 - Apache ActiveMQ RCE Vulnerability impacts Bamboo Data Center and Server

1 Bamboo Data Center/Server : Apache Active MQ のRCE 脆弱性の影響を受けた脆弱性
2 脆弱性の概要
- 2.1 深刻度
- 2.2 影響を受けるバージョン
3 必要なアクション
- 3.1 対応策
  - 3.1.1 修正済みバージョン
- 3.2 軽減策

Bamboo Data Center/Server : Apache Active MQ のRCE 脆弱性の影響を受けた脆弱性

要約	Apache Active MQ のRCE 脆弱性の影響を受けた脆弱性
アドバイザリのリリース日	Nov 10, 2023 午前2時 (JST)
対象製品	Bamboo Server Bamboo Data Center
CVE ID(s)	CVE-2023-46604
Atlassian 社の不具合チケット	BAM-25444 Apache ActiveMQ RCE Vulnerability impacts Bamboo Data Center and Server - CVE-2023-46604

脆弱性の概要

Bamboo は、コアサービスの一部としてサードパーティライブラリ Active MQ を利用しています。Apache Active MQ には、リモートコード実行 (RCE) を許す脆弱性 (CVE-2023-46604) が公表されています。Atlassian 社は、この Active MQ の CVE は深刻度が高いため、慎重を期して、通常のセキュリティ勧告のスケジュールよりも早くこの勧告を公開しました。

深刻度

Apache Active MQ のセキュリティ脆弱性 (CVE-2023-46604) の深刻度は重大レベルです。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は Bamboo Data Center/Server の修正済みバージョン以外のすべてのバージョンに影響します。
Atlassian 社は、修正済みのバージョンへのアップグレードを推奨しています。

製品	影響を受けるバージョン

製品

影響を受けるバージョン

Bamboo Data Center

Bamboo Server

修正済みバージョン以外のすべてのバージョン

必要なアクション

対応策

すぐに修正済みバージョンへバージョンアップするようにお願いします。

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。

修正済みバージョン

製品	修正済みバージョン

製品	修正済みバージョン
Bamboo Data Center and Server	9.2.7 以降 9.3.5 以降 9.4.1 以降

軽減策

すぐに Bamboo のバージョンアップができない場合、以下の軽減策の実施をお願いします。

Bamboo サーバの前段にファイアウォール/VPC にあることを確認し、信頼できるソースからのみ Active　MQ broker ポートへの接続を許可するようにします。

Active MQ のデフォルトのポートは以下です。

TCP/54663
TCP/54664
TCP/54665

これらのポートはカスタマイズ可能です。詳細は FAQ を参照してください。

注：これらの緩和措置は限定的なものであり、インスタンスにパッチを適用する代わりになるものではありません。

ご不明点はヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約はお問い合わせフォームにご連絡ください。