ニュース
INFORMATION
ActiveMQの脆弱性について
平素よりBizRobo!をご利用いただき、誠にありがとうございます。
Apache ActiveMQ(以下ActiveMQ)で発見された脆弱性(CVE-2023-46604)に関するBizRobo!各種サービスへの影響、および対応方法についてご案内いたします。
脆弱性の詳細につきましては、以下をご確認ください。
※参考URL:https://nvd.nist.gov/vuln/detail/CVE-2023-46604
▼はじめに
①ActiveMQはApache Software Foundationが開発したオープンソースソフトウェアであり、
BizRobo! ではブローカーの冗長性を提供して ManagementConsoleとRoboserver間の通信の安定性をより高める為のミドルウェアとして採用されています。
②本脆弱性は、影響を受けるケースと受けないケースがございます。詳細につきましては、以下ナレッジをご確認ください。
※ナレッジURL:【脆弱性情報】BizRoboに対するApache ActiveMQ 脆弱性 (CVE-2023-46604)の影響について
▼脆弱性の内容
ActiveMQには、ブローカーに対してリモートコード実行の脆弱性(CVE-2023-46604)が存在します。
▼想定される影響
ブローカーに対して攻撃者がリモートで任意のシェルコマンドをOpenWireプロトコル内のシリアライズされたクラスタイプで実行し、クラスパス上のクラスを起動することが出来てしまう可能性があります。
▼対象となるActiveMQライブラリ
| Ver.10.4、10.7 | Ver.11.1 |
| activemq-broker-5.15.6.jar
activemq-client-5.15.6.jar activemq-kahadb-store-5.15.6.jar activemq-openwire-legacy-5.15.6.jar activemq-protobuf-1.1.jar | activemq-broker-5.16.1.jar
activemq-client-5.16.1.jar activemq-kahadb-store-5.16.1.jar activemq-openwire-legacy-5.16.1.jar activemq-protobuf-1.1.jar |
▼BizRobo!への影響
BizRobo!各サービスへの影響は以下の通りです。
| サービス名 | Ver.10.4 | Ver.10,7 | Ver.11.1 |
| BizRobo! Basic | あり | あり | あり |
| BizRobo! Lite | あり | あり | あり |
| BizRobo! Lite+ | あり | あり | あり |
| BizRobo! DX Cloud | あり | あり | あり |
| BizRobo! mini | あり※ | あり※ | あり※ |
| BizRobo! Mini ガバメントライセンス | あり※ | あり※ | あり※ |
※について:直ちに影響はありませんが、以下の2つの理由からDesign Studioのインストール先から対象ライブラリの削除をお勧めします。
(1) 攻撃者が対象のActiveMQライブラリから予期せぬ脆弱性エリアを利用できないための予防措置
(2) セキュリティソフトウェアがActiveMQライブラリを危険要素と判断し、起動中のDesign Studioの動きに干渉を行い、Design Studioが正しく動作しない場合がある
▼対応方針
BizRobo!各サービスに対する対応方針は以下の通りです。
| サービス名 | 対応方針 |
| BizRobo! Basic | セキュリティポリシーに従って対応の実施要否を検討ください。 対応が必要な場合は下記対応手順に従い、該当のライブラリを削除ください。 |
| BizRobo! Lite | セキュリティポリシーに従って対応の実施要否を検討ください。 対応が必要な場合は営業担当までご連絡ください。 |
| BizRobo! Lite+ | セキュリティポリシーに従って対応の実施要否を検討ください。 対応が必要な場合には営業担当までご連絡ください。 |
| BizRobo! DX Cloud | 弊社にて影響有無の確認と必要に応じて対応を行います。 順次ご用意が出来次第、対応スケジュールを調整のうえ対応致します。 |
| BizRobo! mini | 下記対応手順に従い、Design Studioの該当ライブラリを削除ください。 |
| BizRobo! mini ガバメントライセンス | 下記対応手順に従い、Design Studioの該当ライブラリを削除ください。 |
▼対応手順
本件に関するナレッジにて、対応手順を記載しております。詳細につきましてはそちらをご確認ください。
【脆弱性情報】BizRoboに対するApache ActiveMQ 脆弱性 (CVE-2023-46604)の影響について
▼お問合せ先:
RPAテクノロジーズ株式会社
プロダクト&サポート部 Product Deliveryチーム
アドレス:solutionlab@bizrobo.com
引き続き、より良いサービスの提供に努めてまいります。
よろしくお願い申し上げます。