Alfresco 製品 セキュリティ脆弱性 (CVE-2023-46604 (ActiveMQ) / CVE-2023-5072 (JSON-Java)) 2023-11-21 日本語訳

この記事は、2023年11月21日に Hyland 社が公開した Alfresco 製品 セキュリティ脆弱性に関する  「Vulnerabilities related to CVE-2023-46604 (ActiveMQ) and CVE-2023-5072 (JSON-Java)」コミュニティ記事を日本語翻訳し、必要な情報を補足しています。

目次


概要

Alfresco プラットフォーム製品 の脆弱性(CVE-2023-46604 および CVE-2023-5072)に対する修正プログラムが Hyland 社より提供されました。
悪意のあるユーザーからネットワークアクセスされるといった特定の状況下で、リモートでコードを実行される可能性やサービス拒否の影響を受ける可能性があります。

コントロールID

202311-MNT-24067

重大度

重要

CVE ID

  • CVE-2023-46604

  • CVE-2023-5072

影響を受ける製品およびバージョン

Alfresco プラットフォーム製品

影響を受けるバージョン

Alfresco Content Services

  • 7.4.1.0 - 7.4.1.2

  • 7.3.1.0 - 7.3.1.1

  • 7.2.1.0 - 7.2.1.12

  • 23.1

Alfresco Transform Services

  • 2.1.0

  • 3.0.0

  • 4.0.0

Elastic Search Connector

  • 4.0.0

  • 3.3.1

  • 3.3.0.0 - 3.3.0.1

  • 3.2.0.0 - 3.2.0.1

  • 3.1.1

  • 3.1.0

Alfresco Sync Service

  • 3.10.0

  • 4.0.0

EOL を迎えている製品に関しては、脆弱性の影響調査の範囲外で修正はしない方針であることにご注意ください。

ご利用の製品バージョンが EOL を迎えているか否かは Alfresco製品のサポート状況 の 「廃止」日付をご確認ください。  

緩和する要素 

  • 本脆弱性を悪用するには、ActiveMQ ブローカーまたはクライアントへのネットワークアクセスが必要です。

是正処置

この特定のリスクは、以下に示す修正済みバージョンのいずれかにアップグレードすることで回避できます。Hyland 社は、ソリューションを修正済みバージョンのいずれかにできるだけ早くアップグレードすることを強くお勧めします。

修正済みバージョン製品およびバージョン

Alfresco プラットフォーム製品

修正済みバージョン

Alfresco Content Services

  • 7.4.1.3

  • 7.3.1.2

  • 7.2.1.13

  • 23.1.1

Alfresco Transform Services

  • 2.1.1

  • 3.0.1

  • 4.0.1

Elastic Search Connector

  • 4.0.0.1

  • 3.3.1.1

  • 3.3.0.2

  • 3.2.0.2

  • 3.1.1.1

  • 3.1.0.1

Alfresco Sync Service

  • 3.10.1

  • 4.0.1

ホットフィックスをインストールする前の注意事項

ホットフィックスをインストールする 前に、次の考慮事項を確認してください。 

  • Alfresco Content Services のセキュリティを強化するために、追加の機能変更が実装されています。  したがって、ホットフィックスを適用する前に、カスタマイズした部分がある場合は、動作に問題がでないか確認することをお勧めします。 問題が特定された場合は、事前にカスタマイズを変更する必要がある場合があります。

  • ホットフィックスのインストールを実行する前にカスタマイズについて疑問がある場合は、Alfresco Extension Inspector を使用して、特定の環境のカスタマイズに関する詳細情報を確認してください。

  • ホットフィックスのインストール プロセスを開始する前に、Alfresco リポジトリやデータベースのバックアップをお取りいただくようにお願いします。

 

修正プログラムをインストールするには: 

リックソフト株式会社等のパートナーからライセンスをご契約されている場合は、パートナーへ修正プログラムの入手をご依頼ください。

以下の表で、Alfresco プラットフォーム製品のバージョンと対応するファイル名を見つけます。

  • 下の表にあるファイル名を、拡張子を含めてコピーします。

  • Hyland Community にログインします。

  • 上部のナビゲーションバーで Support をクリックします。

  • Software Downloads サイドバーの Software Downloads リンクをクリックします

  • コピーしたファイル名を Technical Support Secure Downloads サイドバーの File Name フィールドに貼り付け、SUBMIT ボタンをクリックします。

  • 生成されたリンクをクリックしてダウンロードを開始します。

Alfresco プラットフォーム製品 バージョン

ファイル名

Alfresco Content Services Community Edition 23.1.1

alfresco-content-services-distribution-23.1.1.zip

Alfresco Content Services 7.4.1.3

alfresco-content-services-distribution-7.4.1.3.zip

Alfresco Content Services 7.3.1.2

alfresco-content-services-distribution-7.3.1.2.zip

Alfresco Content Services 7.2.1.13

alfresco-content-services-distribution-7.2.1.13.zip

Elastic Search Connector 4.0.0.1

alfresco-elasticsearch-connector-distribution-4.0.0.1.zip

Elastic Search Connector 3.3.1.1

alfresco-elasticsearch-connector-distribution-3.3.1.1.zip

Elastic Search Connector .3.0.2

alfresco-elasticsearch-connector-distribution-3.3.0.2.zip

Elastic Search Connector 3.2.0.2

alfresco-elasticsearch-connector-distribution-3.2.0.2.zip

Elastic Search Connector 3.1.1.1

alfresco-elasticsearch-connector-distribution-3.1.1.1.zip

Elastic Search Connector 3.1.0.1

alfresco-elasticsearch-connector-distribution-3.1.0.1.zip

Alfresco Transform Services 4.0.1

alfresco-transform-service-distribution-4.0.1.zip

Alfresco Transform Services 3.0.1

alfresco-transform-service-distribution-3.0.1.zip

Alfresco Transform Services 2.1.1

alfresco-transform-service-distribution-2.1.1.zip

Alfresco Sync Service 4.0.1

AlfrescoSyncServer-4.0.1.zip

Alfresco Sync Service 3.10.1

AlfrescoSyncServer-3.10.1.zip

追加の質問や懸念がある場合は、サポート窓口に連絡してください。

 

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。


Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ