JVNDB-2023-016603

VMware の RabbitMQ Java Client におけるリソースの枯渇に関する脆弱性

VMware の RabbitMQ Java Client には、リソースの枯渇に関する脆弱性が存在します。

VMware

• RabbitMQ Java Client 5.18.0 未満

日立

• Hitachi Configuration Manager
• Hitachi Device Manager
• Hitachi Ops Center API Configuration Manager (海外版)
• Hitachi Ops Center API Configuration Manager (国内版)

サービス運用妨害 (DoS) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

VMware

• GitHub : Add max inbound message size to ConnectionFactory
• GitHub : Add ability to specify maximum message size #1062
• GitHub : v5.18.0
• GitHub : No message size limit in RabbitMQ Java client can lead to a remote DoS attack of consumer applications

日立

• Hitachi Software Vulnerability Information : hitachi-sec-2024-137
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2024-137

1. リソースの枯渇(CWE-400) [NVD評価]

1. CVE-2023-46120

1. JVN : JVNVU#91198149
2. JVN : JVNVU#99084687
3. National Vulnerability Database (NVD) : CVE-2023-46120
4. ICS-CERT ADVISORY : ICSA-24-046-15
5. ICS-CERT ADVISORY : ICSA-24-228-06

• [2024年01月04日]
    掲載
• [2024年02月20日]
    参考情報：JVN (JVNVU#91198149) を追加
    参考情報：ICS-CERT ADVISORY (ICSA-24-046-15) を追加
• [2024年8月07日]
    影影響を受けるシステム：ベンダ情報の追加に伴い内容を更新 
    ベンダ情報：日立 (hitachi-sec-2024-137) を追加
• [2024年08月19日]
    参考情報：JVN (JVNVU#99084687) を追加
    参考情報：ICS-CERT ADVISORY (ICSA-24-228-06) を追加