CVE-2023-46604 - Bamboo Data Center および Server に影響する Apache ActiveMQ RCE の脆弱性

Archived Security Advisories

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

CVE-2023-46604 - Bamboo Data Center および Server に影響する Apache ActiveMQ RCE の脆弱性

要約CVE-2023-46604 - Bamboo Data Center および Server に影響する Apache ActiveMQ RCE の脆弱性
勧告のリリース日2023 年 11 月 09 日 (木) 04:30 PST
製品
  • Bamboo Data Center
  • Bamboo Server
CVE IDCVE-2023-46604
関連する Jira チケット



脆弱性の概要

Bambooは、コア サービスの一部としてサードパーティのライブラリ ActiveMQ を利用しています。Apache Active MQ は、リモート コード実行 (RCE) を可能にする脆弱性 (CVE-2023-46604) を公開しています。Active MQ の本 CVE は深刻度が高いため、十分な注意を払って、この勧告を通常の勧告スケジュールより早く公開しています。

深刻度

アトラシアンこの脆弱性の深刻度レベルを社内の評価にしたがって「緊急 (critical)」と評価しています (10.0 と次のベクトル CVSS: 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H)。
これはアトラシアンの評価であり、お客様自身で自社の IT 環境への適用性を評価する必要があります。 

影響を受けるバージョン

この RCE (リモートコード実行) の脆弱性は、Bamboo Data Center および Server の、記載されている修正バージョンより前のすべてのバージョンに影響します。アトラシアンは、修正済みの LTS バージョン以降にパッチを適用することを推奨します。

製品影響を受けるバージョン
Bamboo Data Center and Serverすべてのバージョンが影響を受けます

必要なアクション

すぐに修正版バージョンにパッチ適用してください

アトラシアンでは、影響を受ける各インストールを以下の修正バージョン (またはそれ以降のバージョン) のいずれかにパッチ適用することを推奨しています。

製品修正済みバージョン
Bamboo Data Center and Server
  • 9.2.7 以降
  • 9.3.5 以降
  • 9.4.1 以降

パッチを適用できない場合は、一時的な緩和策を適用してください

または、アップグレードできない場合の暫定措置として、Bamboo Server がファイアウォール/VPC の背後にあり、信頼できるソースからの ActiveMQ ブローカーのポートへの接続のみを許可するようにしてください。

ActiveMQ のデフォルト ポートは次のとおりです。

  • TCP/54663
  • TCP/54664
  • TCP/54665

これらのポートはカスタマイズできることに注意してください。詳細は、よくある質問 (FAQ) を参照してください。

注: これらの緩和措置は限定的であり、インスタンスのパッチ適用に代わるものではありません。できるだけ早くパッチ適用する必要があります。

サポート

このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ からサポート リクエストを起票ください。

参考

セキュリティ バグ修正ポリシー弊社の新しいポリシーに従い、重要なセキュリティ バグの修正はバックポートされます。バイナリーパッチではなく、ポリシーの対象となるバージョンの新しいメンテナンス リリースをリリースします。バイナリー パッチのリリースは終了しています。
セキュリティ問題の深刻度アトラシアンのセキュリティ勧告には深刻度レベルと CVE ID が含まれます。深刻度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細は FIRST.org でご確認ください。
サポート終了ポリシーサポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。
最終更新日 2023 年 11 月 9 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.