ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソフトウェア
  3. CLUSTERPRO
  4. CLUSTERPRO X SingleServerSafe
  5. 動作環境
  6. 注意事項(Linux)
  7. CLUSTERPROにおけるディレクトリトラバーサルの脆弱性(OSプラットフォーム共通)
ここから本文です。

CLUSTERPRO X SingleServerSafe - Linux版 注意事項

CLUSTERPROにおけるディレクトリトラバーサルの脆弱性(OSプラットフォーム共通)

概要

CLUSTERPRO には、WebManager 機能に起因するディレクトリトラバーサルの脆弱性が存在します。
下記すべての条件を満たす場合、WebManager機能によって、本製品からアクセス可能な任意のファイルを取得される可能性があります。

  • WebManagerサービスを有効にしている。
  • WebManager用パスワードである、「参照用パスワード」「操作用パスワード」のいずれも設定されていない。
  • WebManagerの「クライアントIPアドレスによって接続を制御する」機能を有効にしていない。もしくは、「接続を許可するクライアントIPアドレス一覧」よってアクセスが許可された端末である。

対象となるバージョン

  • CLUSTERPRO X 3.3 for Windows (内部バージョン 11.31) およびそれ以前
  • CLUSTERPRO X 3.3 for Linux (内部バージョン 3.3.1-1) およびそれ以前
  • CLUSTERPRO X 3.3 for Solaris (内部バージョン 3.3.1-1) およびそれ以前
  • CLUSTERPRO X SingleServerSafe 3.3 for Windows (内部バージョン 11.31) およびそれ以前
  • CLUSTERPRO X SingleServerSafe 3.3 for Linux (内部バージョン 3.3.1-1) およびそれ以前
  • CLUSTERPRO X 1.0, 2.0, 2.1, 3.0, 3.1, 3.2 が該当します(CLUSTERPRO X SingleServerSafe を含む)。
    それ以前のCLUSTERPROシリーズ(CLUSTERPRO Ver8.0等)は該当しません。
    詳細は本ページ末尾の対象製品一覧をご確認ください。

CLUSTERPRO Xのバージョンおよび内部バージョンは WebManager から確認可能です。

CLUSTERPRO X SingleServerSafe のバージョンおよび内部バージョンはWebManagerからバージョンを確認できます。

対処方法

[対策]

以下の対策1~2 いずれかを実施してください。

  1. WebManager用パスワード(参照用、操作用いずれでも可)を設定してください。

    WebManager用パスワードを設定してください。


    なお、上記のパスワード設定はクラスター構成情報をアップロードすることにより即時反映されます。
    クラスターの再起動など、業務の一時停止を伴う作業は必要ありません。

  2. 以下に示すバージョンの製品にアップデートしてください。

    • CLUSTERPRO X 3.3 for Windows (内部バージョン 11.32以降)
    • CLUSTERPRO X 3.3 for Linux (内部バージョン 3.3.2-1以降)
    • CLUSTERPRO X SingleServerSafe 3.3 for Windows (内部バージョン 11.32以降)
    • CLUSTERPRO X SingleServerSafe 3.3 for Linux (内部バージョン 3.3.2-1以降)

参考情報

NEC製品セキュリティ情報
CLUSTERPRO におけるディレクトリトラバーサルの脆弱性
http://jpn.nec.com/security-info/secinfo/nv16-001.html

Japan Vulnerability Notes JVN#:03050861
CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN03050861/

対象製品一覧

  • CLUSTERPRO X 3.3 for Windows (内部バージョン 11.31以前)
  • CLUSTERPRO X 3.3 for Linux (内部バージョン 3.3.1-1以前)
  • CLUSTERPRO X 3.3 for Solaris (内部バージョン 3.3.1-1以前)
  • CLUSTERPRO X SingleServerSafe 3.3 for Windows (内部バージョン 11.31以前)
  • CLUSTERPRO X SingleServerSafe 3.3 for Linux (内部バージョン 3.3.1-1以前)
  • CLUSTERPRO X 3.2 for Windows
  • CLUSTERPRO X 3.2 for Linux
  • CLUSTERPRO X 3.2 for Solaris
  • CLUSTERPRO X SingleServerSafe 3.2 for Windows
  • CLUSTERPRO X SingleServerSafe 3.2 for Linux
  • CLUSTERPRO X 3.1 for Windows
  • CLUSTERPRO X 3.1 for Linux
  • CLUSTERPRO X 3.1 for Solaris
  • CLUSTERPRO X SingleServerSafe 3.1 for Windows
  • CLUSTERPRO X SingleServerSafe 3.1 for Linux
  • CLUSTERPRO X 3.0 for Windows
  • CLUSTERPRO X 3.0 for Linux
  • CLUSTERPRO X 3.0 for Solaris
  • CLUSTERPRO X SingleServerSafe 3.0 for Windows
  • CLUSTERPRO X SingleServerSafe 3.0 for Linux
  • CLUSTERPRO X 2.1 for Windows
  • CLUSTERPRO X 2.1 for Linux
  • CLUSTERPRO X 2.1 for Solaris
  • CLUSTERPRO X SingleServerSafe 2.1 for Windows
  • CLUSTERPRO X SingleServerSafe 2.1 for Linux
  • CLUSTERPRO X 2.0 for Windows
  • CLUSTERPRO X 2.0 for Linux
  • CLUSTERPRO X SingleServerSafe 2.0 for Windows
  • CLUSTERPRO X SingleServerSafe 2.0 for Linux
  • CLUSTERPRO X 1.0 for Windows
  • CLUSTERPRO X 1.0 for Linux
  • CLUSTERPRO X SingleServerSafe 1.0 for Windows
  • CLUSTERPRO X SingleServerSafe 1.0 for Linux


CLUSTERPRO

ページの先頭へ戻る