サイト内の現在位置

CLUSTERPRO X における複数の脆弱性

掲載番号:NV21-015
脆弱性情報識別番号:JVN#69304877, CVE-2021-20700, CVE-2021-20701, CVE-2021-20702, CVE-2021-20703, CVE-2021-20704, CVE-2021-20705, CVE-2021-20706, CVE-2021-20707

概要

CLUSTERPRO X には、以下の複数の脆弱性が存在します。
・Disk Agent 機能にバッファオーバーフローの脆弱性 - CVE-2021-20700、CVE-2021-20701
・Transaction Server 機能にバッファオーバーフローの脆弱性 - CVE-2021-20702、CVE-2021-20703
・旧バージョン(Ver 8.0 以前)との互換 API 機能にバッファオーバーフローの脆弱性 - CVE-2021-20704
・WebManager 機能に遠隔ファイルアップロードの脆弱性 - CVE-2021-20705、CVE-2021-20706
・Transaction Server 機能にファイル読み取りの脆弱性 - CVE-2021-20707

対象製品

CLUSTERPRO X

影響の有無

影響あり

対象となる製品のバージョン

CLUSTERPRO X 4.3 for Windows およびそれ以前
EXPRESSCLUSTER X 4.3 for Windows およびそれ以前
CLUSTERPRO X 4.3 SingleServerSafe for Windows およびそれ以前
EXPRESSCLUSTER X 4.3 SingleServerSafe for Windows およびそれ以前

対処方法

CLUSTERPRO X 4.xの修正パッチを公開しました。
 CLUSTERPRO X 4.3 for Windows 追加アップデート
https://www.support.nec.co.jp/View.aspx?id=3010103673
 CLUSTERPRO X SingleServerSafe 4.3 for Windows 追加アップデート
https://www.support.nec.co.jp/View.aspx?id=3010103678

次のページを参考に、以下の回避策を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3150115830

・Firewall を有効にし、不要な通信を遮断する
 ・以下ののポートについて、クラスタに所属するホストのみに接続要求の受付を許可する
  ・データ転送 (既定値: 29002)
  ・ディスクエージェント間通信 (既定値: 29004)

 ・以下のポートについて、信頼できる管理クライアントのみに接続要求の受付を許可する
  ・ WebManagerのHTTPポート (既定値: 29003)

 ・プロセス clpoldapi.exe について、ローカルホストのみに接続要求の受付を許可する

参考情報

謝辞

本脆弱性の発見者である Exodus Intelligence (exodusintel.com)  に厚く御礼申し上げます。

更新情報

2021/11/29
対処方法を更新しました。
2021/10/29
CLUSTERPRO X を登録しました。