掲載番号:NV22-014
脆弱性情報識別番号:CVE-2022-34822、CVE-2022-34823、CVE-2022-34824、CVE-2022-34825

概要

CLUSTERPRO Xには、次の複数の脆弱性が存在します。

・パストラバーサル - CVE-2022-34822
・スタックベースのバッファオーバーフロー - CVE-2022-34823
・不適切なデフォルトパーミッション - CVE-2022-34824
・制御されていない検索パスの要素 - CVE-2022-34825

対象製品

CLUSTERPRO X

対象となる製品のバージョン

CLUSTERPRO X 1.0 for Windows
CLUSTERPRO X 2.0 for Windows
CLUSTERPRO X 2.1 for Windows
CLUSTERPRO X 3.0 for Windows
CLUSTERPRO X 3.1 for Windows
CLUSTERPRO X 3.2 for Windows
CLUSTERPRO X 3.3 for Windows
CLUSTERPRO X 4.0 for Windows
CLUSTERPRO X 4.1 for Windows
CLUSTERPRO X 4.2 for Windows
CLUSTERPRO X 4.3 for Windows
CLUSTERPRO X 5.0 for Windows

CLUSTERPRO X SingleServerSafe 1.0 for Windows
CLUSTERPRO X SingleServerSafe 2.0 for Windows
CLUSTERPRO X SingleServerSafe 2.1 for Windows
CLUSTERPRO X SingleServerSafe 3.0 for Windows
CLUSTERPRO X SingleServerSafe 3.1 for Windows
CLUSTERPRO X SingleServerSafe 3.2 for Windows
CLUSTERPRO X SingleServerSafe 3.3 for Windows
CLUSTERPRO X SingleServerSafe 4.0 for Windows
CLUSTERPRO X SingleServerSafe 4.1 for Windows
CLUSTERPRO X SingleServerSafe 4.2 for Windows
CLUSTERPRO X SingleServerSafe 4.3 for Windows
CLUSTERPRO X SingleServerSafe 5.0 for Windows

対処方法

・CVE-2022-34822、CVE-2022-34823
　第三者によって細工されたネットワークパケットを受信する可能性のあるシステムについては、修正パッチの適用、もしくは回避策を実施してください。
　・修正パッチについて
　　CLUSTERPRO X 5.0 for Windows (内部バージョン 13.00 - 13.01) 
　　　CLUSTERPRO X 5.0 for Windows アップデート
　　　CLUSTERPRO X SingleServerSafe 5.0 for Windows アップデート
　　　※上記コンテンツの閲覧、入手にはCLUSTERPROのサポートサービスのご契約が必要です。

　　CLUSTERPRO X 4.3 for Windows (内部バージョン 12.30 - 12.33) 
　　　CLUSTERPRO X 4.3 for Windows 追加アップデート
　　　CLUSTERPRO X SingleServerSafe 4.3 for Windows アップデート
　　　※上記コンテンツの閲覧、入手にはCLUSTERPROのサポートサービスのご契約が必要です。

　　CLUSTERPRO X 3.3 for Windows (内部バージョン 11.35) 
　　　CLUSTERPRO X 3.3 for Windows 追加アップデート
　　　CLUSTERPRO X SingleServerSafe 3.3 for Windows 追加アップデート
　　　※上記コンテンツの閲覧、入手にはCLUSTERPROのサポートサービスのご契約が必要です。

　・回避策について
　　Firewallを有効にし、不要な通信を遮断してください。
　　　・以下のポートについて、信頼できる管理クライアントのみに接続要求の受付を許可するよう設定してください。
　　　　・WebManagerのHTTPポート(既定値: 29003)

・CVE-2022-34824、CVE-2022-34825
　インストール先を既定値(C:\Program Files\CLUSTERPRO または C:\Program Files\CLUSTERPRO SSS)から変更していない場合は、本脆弱性に該当しません。
　管理者以外のアクセス権を付与したフォルダ配下へインストール先を変更している場合は、以下の回避策を実施してください。
　・回避策について
　　CLUSTERPRO インストール先のフォルダのアクセス権を確認し、不要なアクセス権を削除してください。
　　CLUSTERPRO では Program Files フォルダと同等のアクセス権が必要です。

参考情報

CVE-2022-34822
https://www.cve.org/CVERecord?id=CVE-2022-34822
CVE-2022-34823
https://www.cve.org/CVERecord?id=CVE-2022-34823
CVE-2022-34824
https://www.cve.org/CVERecord?id=CVE-2022-34824
CVE-2022-34825
https://www.cve.org/CVERecord?id=CVE-2022-34825

謝辞

本脆弱性の発見者である Mr. Michael Heinzl. に厚く御礼申し上げます。

更新情報