[概要]
CLUSTERPRO には、WebManager 機能に起因するディレクトリトラバーサルの脆弱性が存在します。
下記すべての条件を満たす場合、WebManager機能によって、本製品からアクセス可能な任意のファイルを取得される可能性があります。
- WebManagerサービスを有効にしている。
- WebManager用パスワードである、「参照用パスワード」「操作用パスワード」のいずれも設定されていない。
- WebManagerの「クライアントIPアドレスによって接続を制御する」機能を有効にしていない。もしくは、「接続を許可するクライアントIPアドレス一覧」よってアクセスが許可された端末である。
[対象となるバージョン]
本脆弱性(CVE-2016-1145)の対象となる CLUSTERPRO X のバージョンは本ページ末尾の「補足/関連情報」をご確認ください。
※ | CLUSTERPRO X のバージョンおよび内部バージョンは WebManager から確認可能です。確認方法は本ページ末尾の「関連情報」をご確認ください。 |
[対処]
以下の 1. または 2. を実施してください。
1. WebManager用パスワード(参照用、操作用いずれでも可)を設定してください。
なお、設定したパスワードはクラスタ構成情報をアップロードすることにより即時反映
されます。クラスタの再起動など、業務の一時停止を伴う作業は必要ありません。
2. 以下に示すバージョンの製品にアップデートしてください。
- CLUSTERPRO X 3.3 for Windows (内部バージョン 11.32以降)
- CLUSTERPRO X 3.3 for Linux (内部バージョン 3.3.2-1以降)
- CLUSTERPRO X SingleServerSafe 3.3 for Windows (内部バージョン 11.32以降)
- CLUSTERPRO X SingleServerSafe 3.3 for Linux (内部バージョン 3.3.2-1以降)
[参考情報]
NEC製品セキュリティ情報
CLUSTERPRO におけるディレクトリトラバーサルの脆弱性
http://jpn.nec.com/security-info/secinfo/nv16-001.html
Japan Vulnerability Notes JVN#:03050861
CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN03050861/
このFAQの対象製品バージョンは以下のとおりです。
CLUSTERPRO X 1.0 for Windows
CLUSTERPRO X 2.0 for Windows
CLUSTERPRO X 2.1 for Windows
CLUSTERPRO X 3.0 for Windows
CLUSTERPRO X 3.1 for Windows
CLUSTERPRO X 3.2 for Windows
CLUSTERPRO X 3.3 for Windows (内部バージョン 11.31以前)
CLUSTERPRO X 1.0 SingleServerSafe for Windows
CLUSTERPRO X 2.0 SingleServerSafe for Windows
CLUSTERPRO X 2.1 SingleServerSafe for Windows
CLUSTERPRO X 3.0 SingleServerSafe for Windows
CLUSTERPRO X 3.1 SingleServerSafe for Windows
CLUSTERPRO X 3.2 SingleServerSafe for Windows
CLUSTERPRO X 3.3 SingleServerSafe for Windows (内部バージョン 11.31以前)
CLUSTERPRO X 1.0 for Linux
CLUSTERPRO X 2.0 for Linux
CLUSTERPRO X 2.1 for Linux
CLUSTERPRO X 3.0 for Linux
CLUSTERPRO X 3.1 for Linux
CLUSTERPRO X 3.2 for Linux
CLUSTERPRO X 3.3 for Linux (内部バージョン 3.3.1-1以前)
CLUSTERPRO X 1.0 SingleServerSafe for Linux
CLUSTERPRO X 2.0 SingleServerSafe for Linux
CLUSTERPRO X 2.1 SingleServerSafe for Linux
CLUSTERPRO X 3.0 SingleServerSafe for Linux
CLUSTERPRO X 3.1 SingleServerSafe for Linux
CLUSTERPRO X 3.2 SingleServerSafe for Linux
CLUSTERPRO X 3.3 SingleServerSafe for Linux (内部バージョン 3.3.1-1以前)
CLUSTERPRO X 2.1 for Solaris
CLUSTERPRO X 3.0 for Solaris
CLUSTERPRO X 3.1 for Solaris
CLUSTERPRO X 3.2 for Solaris
CLUSTERPRO X 3.3 for Solaris (内部バージョン 3.3.1-1以前)