CLUSTERPRO X における複数の脆弱性

English

掲載番号:NV21-015
脆弱性情報識別番号:JVN#69304877, CVE-2021-20700, CVE-2021-20701, CVE-2021-20702, CVE-2021-20703, CVE-2021-20704, CVE-2021-20705, CVE-2021-20706, CVE-2021-20707

概要

CLUSTERPRO X には、以下の複数の脆弱性が存在します。
・Disk Agent 機能にバッファオーバーフローの脆弱性 - CVE-2021-20700、CVE-2021-20701
・Transaction Server 機能にバッファオーバーフローの脆弱性 - CVE-2021-20702、CVE-2021-20703
・旧バージョン(Ver 8.0 以前)との互換 API 機能にバッファオーバーフローの脆弱性 - CVE-2021-20704
・WebManager 機能に遠隔ファイルアップロードの脆弱性 - CVE-2021-20705、CVE-2021-20706
・Transaction Server 機能にファイル読み取りの脆弱性 - CVE-2021-20707

対象製品

CLUSTERPRO X

影響の有無

影響あり

対象となる製品のバージョン

CLUSTERPRO X 4.3 for Windows およびそれ以前
EXPRESSCLUSTER X 4.3 for Windows およびそれ以前
CLUSTERPRO X 4.3 SingleServerSafe for Windows およびそれ以前
EXPRESSCLUSTER X 4.3 SingleServerSafe for Windows およびそれ以前

対処方法

修正パッチの適用、もしくは回避策を実施してください。

CLUSTERPRO X 4.xの修正パッチ
　CLUSTERPRO X 4.3 for Windows 追加アップデート
https://www.support.nec.co.jp/View.aspx?id=3010103673
　CLUSTERPRO X SingleServerSafe 4.3 for Windows 追加アップデート
https://www.support.nec.co.jp/View.aspx?id=3010103678

CLUSTERPRO X 3.xの修正パッチ
　CLUSTERPRO X 3.3 for Windows 追加アップデート
https://support.pf.nec.co.jp/View.aspx?id=3140107057
　CLUSTERPRO X SingleServerSafe 3.3 for Windows 追加アップデート
https://support.pf.nec.co.jp/View.aspx?id=3140108604

次のページを参考に、以下の回避策を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3150115830

・Firewall を有効にし、不要な通信を遮断する
　・以下ののポートについて、クラスタに所属するホストのみに接続要求の受付を許可する
　　・データ転送 (既定値: 29002)
　　・ディスクエージェント間通信 (既定値: 29004)

　・以下のポートについて、信頼できる管理クライアントのみに接続要求の受付を許可する
　　・ WebManagerのHTTPポート (既定値: 29003)

　・プロセス clpoldapi.exe について、ローカルホストのみに接続要求の受付を許可する

参考情報

謝辞

本脆弱性の発見者である Exodus Intelligence (exodusintel.com) に厚く御礼申し上げます。

更新情報

2022/04/15: 3.x の修正パッチの情報を追加しました。
2021/11/29: 対処方法を更新しました。
2021/10/29: CLUSTERPRO X を登録しました。

BluStellar（ブルーステラ）

製品・ソリューション

業種・業務

企業情報

サイト内の現在位置