CVE-2023-46604 - Bamboo Data Center および Server に影響する Apache ActiveMQ RCE の脆弱性
CVE-2023-46604 - Bamboo Data Center および Server に影響する Apache ActiveMQ RCE の脆弱性
| 要約 | CVE-2023-46604 - Bamboo Data Center および Server に影響する Apache ActiveMQ RCE の脆弱性 |
| 勧告のリリース日 | 2023 年 11 月 09 日 (木) 04:30 PST |
| 製品 |
|
| CVE ID | CVE-2023-46604 |
| 関連する Jira チケット |
脆弱性の概要
Bambooは、コア サービスの一部としてサードパーティのライブラリ ActiveMQ を利用しています。Apache Active MQ は、リモート コード実行 (RCE) を可能にする脆弱性 (CVE-2023-46604) を公開しています。Active MQ の本 CVE は深刻度が高いため、十分な注意を払って、この勧告を通常の勧告スケジュールより早く公開しています。
深刻度
アトラシアンこの脆弱性の深刻度レベルを社内の評価にしたがって「緊急 (critical)」と評価しています (10.0 と次のベクトル CVSS: 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H)。
これはアトラシアンの評価であり、お客様自身で自社の IT 環境への適用性を評価する必要があります。
影響を受けるバージョン
この RCE (リモートコード実行) の脆弱性は、Bamboo Data Center および Server の、記載されている修正バージョンより前のすべてのバージョンに影響します。アトラシアンは、修正済みの LTS バージョン以降にパッチを適用することを推奨します。
| 製品 | 影響を受けるバージョン |
|---|---|
| Bamboo Data Center and Server | すべてのバージョンが影響を受けます |
必要なアクション
すぐに修正版バージョンにパッチ適用してください
アトラシアンでは、影響を受ける各インストールを以下の修正バージョン (またはそれ以降のバージョン) のいずれかにパッチ適用することを推奨しています。
| 製品 | 修正済みバージョン |
|---|---|
| Bamboo Data Center and Server |
|
パッチを適用できない場合は、一時的な緩和策を適用してください
または、アップグレードできない場合の暫定措置として、Bamboo Server がファイアウォール/VPC の背後にあり、信頼できるソースからの ActiveMQ ブローカーのポートへの接続のみを許可するようにしてください。
ActiveMQ のデフォルト ポートは次のとおりです。
TCP/54663
TCP/54664
TCP/54665
これらのポートはカスタマイズできることに注意してください。詳細は、よくある質問 (FAQ) を参照してください。
注: これらの緩和措置は限定的であり、インスタンスのパッチ適用に代わるものではありません。できるだけ早くパッチ適用する必要があります。
サポート
このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ からサポート リクエストを起票ください。
参考
| セキュリティ バグ修正ポリシー | 弊社の新しいポリシーに従い、重要なセキュリティ バグの修正はバックポートされます。バイナリーパッチではなく、ポリシーの対象となるバージョンの新しいメンテナンス リリースをリリースします。バイナリー パッチのリリースは終了しています。 |
| セキュリティ問題の深刻度 | アトラシアンのセキュリティ勧告には深刻度レベルと CVE ID が含まれます。深刻度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細は FIRST.org でご確認ください。 |
| サポート終了ポリシー | サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |