Bamboo Data Center/Server : Apache ActiveMQ のRCE 脆弱性の影響を受けた脆弱性 CVE-2023-46604 2023-11-10 日本語訳

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年11月10日時点の情報です)

目次


Bamboo Data Center/Server : Apache Active MQ のRCE 脆弱性の影響を受けた脆弱性

要約

Apache Active MQ のRCE 脆弱性の影響を受けた脆弱性

アドバイザリのリリース日

Nov 10, 2023 午前2時 (JST)

対象製品

  • Bamboo Server

  • Bamboo Data Center

CVE ID(s)

CVE-2023-46604

Atlassian 社の不具合チケット

脆弱性の概要

Bamboo は、コアサービスの一部としてサードパーティライブラリ Active MQ を利用しています。Apache Active MQ には、リモートコード実行 (RCE) を許す脆弱性 (CVE-2023-46604) が公表されています。Atlassian 社は、この Active MQ の CVE は深刻度が高いため、慎重を期して、通常のセキュリティ勧告のスケジュールよりも早くこの勧告を公開しました。

深刻度

Apache Active MQ のセキュリティ脆弱性 (CVE-2023-46604) の深刻度は重大レベルです。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は Bamboo Data Center/Server の修正済みバージョン以外のすべてのバージョンに影響します。
Atlassian 社は、修正済みのバージョンへのアップグレードを推奨しています。

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Bamboo Data Center

Bamboo Server

修正済みバージョン以外のすべてのバージョン

必要なアクション

対応策

すぐに修正済みバージョンへバージョンアップするようにお願いします。

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。

修正済みバージョン

製品

修正済みバージョン

製品

修正済みバージョン

Bamboo Data Center and Server

  • 9.2.7 以降

  • 9.3.5 以降

  • 9.4.1 以降

軽減策

すぐに Bamboo のバージョンアップができない場合、以下の軽減策の実施をお願いします。

Bamboo サーバの前段に ファイアウォール/VPC にあることを確認し、信頼できるソースからのみ Active MQ broker ポートへの接続を許可するようにします。

Active MQ のデフォルトのポートは以下です。

  • TCP/54663

  • TCP/54664

  • TCP/54665


これらのポートはカスタマイズ可能です。詳細は FAQ を参照してください。

注:これらの緩和措置は限定的なものであり、インスタンスにパッチを適用する代わりになるものではありません。

 

ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。


Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ