概要
Apacheは2023年10月25日にActiveMQ関連の脆弱性を公表し、ActiveMQの新バージョンをリリースしました。
https://nvd.nist.gov/vuln/detail/CVE-2023-46604
■影響を受けるケース:
BizRobo! においては、バージョン 10.4から11.1でJMS(Java Message Service)機能を利用して、RoboServerの通信をActiveMQメッセージbroker経由している場合、脆弱性の影響を受けるため、早急に別のメッセージ brokerに変更する必要があります。
該当するかどうかは本記事における「JMS機能の利用有無の確認」を参照ください。
対応方法については、本ナレッジで指定されているライブラリを削除することとなります。
■影響を受けないケース
ActiveMQメッセージ brokerを利用しない場合、上記の Apache ActiveMQ CVE-2023-46604の影響を受けませんが、予期せぬ脆弱性及びセキュリティソフトウェアによる運用中断の影響を受けないよう、ActiveMQに関連するライブラリを削除することをお勧めします。
バージョン 11.3からはJMS機能のサポートが廃止になったため、バージョン11.3以降のBizRobo! はこの脆弱性の影響を受けません。
目次
JMS機能の利用有無の確認
※注意:All-In-OneのEmbeddedモードのManagement Console、もしくはHA(高可用性)構成で構築した Management Consoleは JMS機能がサポートされませんので本手順は対象外です。
Tomcat上に構築したManagement Console上での確認手順を紹介します。
1. Tomcatフォルダ/webapps/{MCのフォルダ}/WEB-INF/Configuration.xmlファイルを開きます。
例:"C:\Program Files\Apache Software Foundation\Tomcat 8.5\webapps\mc11106\WEB-INF\Configuration.xml"
2. “jmsEnabled”のプロパティの値(value)が trueになっている場合、JMS機能の利用が許可されています。こちらの値が “false”の時はJMS機能を利用していないため、本脆弱性の影響は受けません。
3. JMS機能を利用している場合、”brokerUri”からインストールされた端末を確定できます。
4. brokerがActiveMQになっている場合、別の brokerに切り替えてください。(構築した担当者に連絡することをお勧めします)
ActiveMQライブラリの削除
※注意:JMS機能を利用していなくても、BizRobo!関連ソフトウェアの誤動作を防止するためActiveMQライブラリの削除をお勧めします。
BizRobo!バージョンによって削除対象になるライブラリは以下の通りです。
10.4, 10.7 | 11.1 |
activemq-broker-5.15.6.jar activemq-client-5.15.6.jar activemq-kahadb-store-5.15.6.jar activemq-openwire-legacy-5.15.6.jar activemq-protobuf-1.1.jar |
activemq-broker-5.16.1.jar activemq-client-5.16.1.jar activemq-kahadb-store-5.16.1.jar activemq-openwire-legacy-5.16.1.jar activemq-protobuf-1.1.jar |
削除手順:
■ Management Console :
1. サービス(services.msc)から対象Tomcatサービスを停止します
2. 以下のフォルダにて、activemqの対象ライブラリを削除します。
"C:\Program Files\Apache Software Foundation\Tomcat 8.5\webapps\{MCのフォルダ}\WEB-INF\lib\”
3. Tomcatサービスを開始します
■ RoboServer / Design Studio:
1. サービス(services.msc)から 10.4, 10.7, 11.1の RoboServerサービスを停止、または Design Studioを終了します。
2. 以下のフォルダにて、activemqの対象ライブラリを削除します。
“C:\Program Files\{RPAバージョン}\lib\thirdparty\”
例:
"C:\Program Files\BizRobo Basic 11.1.0.6 x64\lib\thirdparty"
"C:\Program Files\Kofax RPA 10.7.0.4 240 x64\lib\thirdparty"
"C:\Program Files\Kofax RPA 10.4.0.4 325 x64\lib\thirdparty"
3. 対象の RoboServerサービスまたはDesign Studioを開始します。
参考情報
・Kofax RPA の Active MQ (CVE-2023-46604)脆弱性の案内