JVNDB-2023-007044
|
Apache ActiveMQ にリモートコード実行の脆弱性
|
|
Apache ActiveMQ および Apache ActiveMQ Legacy OpenWire Module にはリモートコード実行が可能となる脆弱性があります。
ActiveMQ の OpenWire ブローカーまたはクライアントは、細工されたシリアライズデータを受信した場合、クラスパス上の任意のクラスをインスタンス化する可能性があります。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
|
Apache Software Foundation
- Apache ActiveMQ 5.18.0 から 5.18.3 より前のバージョン
- Apache ActiveMQ 5.17.0 から 5.17.6 より前のバージョン
- Apache ActiveMQ 5.16.0 から 5.16.7 より前のバージョン
- Apache ActiveMQ 5.15.16 より前のバージョン
- Apache ActiveMQ Artemis 2.31.2 より前のバージョン
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 から 5.18.3 より前のバージョン
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 から 5.17.6 より前のバージョン
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 から 5.16.7 より前のバージョン
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 から 5.15.16 より前のバージョン
|
|
|
細工されたシリアライズデータを、OpenWire ブローカーまたはクライアントが処理すると、任意のコードを実行される可能性があります。
|
|
[アップデートする]
開発者により、本脆弱性を修正した以下のバージョンが提供されています。開発者が提供する情報をもとに、最新版にアップデートしてください。
* Apache ActiveMQ 5.18.3
* Apache ActiveMQ 5.17.6
* Apache ActiveMQ 5.16.7
* Apache ActiveMQ 5.15.16
* Apache ActiveMQ Artemis 2.31.2
* Apache ActiveMQ Legacy OpenWire Module 5.18.3
* Apache ActiveMQ Legacy OpenWire Module 5.17.6
* Apache ActiveMQ Legacy OpenWire Module 5.16.7
* Apache ActiveMQ Legacy OpenWire Module 5.15.16
|
|
Apache Software Foundation
リコー
日本電気
日立
|
|
- 信頼できないデータのデシリアライゼーション(CWE-502) [NVD評価]
|
|
- CVE-2023-46604
|
|
- JVN : JVNVU#98585341
- JVN : JVNVU#96164216
- National Vulnerability Database (NVD) : CVE-2023-46604
- ICS-CERT ADVISORY : ICSA-24-130-03
|
|
- [2023年11月17日]
掲載
- [2023年11月24日]
ベンダ情報:株式会社リコー (「Apache ActiveMQにおける遠隔コード実行の脆弱性」(CVE-2023-46604) によるリコー製品への影響について) を追加
- [2024年01月31日]
ベンダ情報:日立 (hitachi-sec-2024-107) を追加
ベンダ情報:日立 (hitachi-sec-2024-109) を追加
- [2024年05月13日]
参考情報:JVN (JVNVU#96164216) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-130-03) を追加
- [2024年09月02日]
ベンダ情報:日本電気 (NV24-005) を追加
|
