[概要]
CLUSTERPRO X には、下記の脆弱性が存在します。
CVE-2021-20700 | Disk Agent機能におけるバッファオーバーフローの脆弱性 |
CVE-2021-20701 | Disk Agent機能におけるバッファオーバーフローの脆弱性 |
CVE-2021-20702 | Transaction Server機能におけるバッファオーバーフローの脆弱性 |
CVE-2021-20703 | Transaction Server機能におけるバッファオーバーフローの脆弱性 |
CVE-2021-20704 | 互換API機能にバッファオーバーフローの脆弱性 |
遠隔の第三者によって細工されたネットワークパケットを受信することで任意のコードを実行される可能性があります。 |
CVE-2021-20705 | WebManager機能における遠隔ファイルアップロードの脆弱性 |
CVE-2021-20706 | WebManager機能における遠隔ファイルアップロードの脆弱性 |
遠隔の第三者によって細工されたネットワークパケットを受信することで任意のファイルをアップロードされる可能性があります。 |
CVE-2021-20707 | Transaction Server機能におけるファイル読み取りの脆弱性 |
遠隔の第三者によって細工されたネットワークパケットを受信することで任意のファイルを読み取られる可能性があります。 |
[対象となるバージョン]
本脆弱性の対象となる CLUSTERPRO X のバージョンは本ページ末尾の「補足/関連情報」をご確認ください。
※ | CLUSTERPRO X のバージョンおよび内部バージョンは Cluster WebUI または WebManager から確認可能です。確認方法は本ページ末尾の「関連情報」をご確認ください。 |
[対処]
第三者によって細工されたネットワークパケットを受信する可能性のあるシステムについては、修正パッチの適用、もしくは回避策を実施してください。
- 修正パッチについて
CLUSTERPRO X 4.3 for Windows (内部バージョン 12.30 - 12.32) に対する修正パッチを以下に公開しています。
CLUSTERPRO X 3.3 for Windows (内部バージョン 11.35) に対する修正パッチを以下に公開しています。
- 回避策について
Firewallを有効にし、不要な通信を遮断してください。
- 下記のポートについて、クラスタに所属するホストのみに接続要求の受付を許可する。
- データ転送(既定値: 29002)
- ディスクエージェント間通信(既定値: 29004)
- 以下のポートについて、信頼できる管理クライアントのみに接続要求の受付を許可する。
- WebManagerのHTTPポート(既定値: 29003)
- プロセス clpoldapi.exe について、ローカルホストのみに接続要求の受付を許可する。
[参考情報]
Japan Vulnerability Notes JVN#69304877
CLUSTERPRO X における複数の脆弱性
https://jvn.jp/jp/JVN69304877/index.html
このFAQの対象製品バージョンは以下のとおりです。
CLUSTERPRO X 1.0 for Windows
CLUSTERPRO X 2.0 for Windows
CLUSTERPRO X 2.1 for Windows
CLUSTERPRO X 3.0 for Windows
CLUSTERPRO X 3.1 for Windows
CLUSTERPRO X 3.2 for Windows
CLUSTERPRO X 3.3 for Windows
CLUSTERPRO X 4.0 for Windows
CLUSTERPRO X 4.1 for Windows
CLUSTERPRO X 4.2 for Windows
CLUSTERPRO X 4.3 for Windows
CLUSTERPRO X SingleServerSafe 1.0 for Windows
CLUSTERPRO X SingleServerSafe 2.0 for Windows
CLUSTERPRO X SingleServerSafe 2.1 for Windows
CLUSTERPRO X SingleServerSafe 3.0 for Windows
CLUSTERPRO X SingleServerSafe 3.1 for Windows
CLUSTERPRO X SingleServerSafe 3.2 for Windows
CLUSTERPRO X SingleServerSafe 3.3 for Windows
CLUSTERPRO X SingleServerSafe 4.0 for Windows
CLUSTERPRO X SingleServerSafe 4.1 for Windows
CLUSTERPRO X SingleServerSafe 4.2 for Windows
CLUSTERPRO X SingleServerSafe 4.3 for Windows