ページの先頭です。
ここから本文です。

よくあるご質問(サポートFAQ)

CLUSTERPRO:CLUSTERPRO X におけるXML外部実体参照(XXE)に関する脆弱性(CVE-2020-17408)について

質問内容

CLUSTERPRO X におけるXML外部実体参照(XXE)に関する脆弱性(CVE-2020-17408)について教えてください。

回答内容

[概要]
CLUSTERPRO X には、XML外部実体参照(XXE)に関する脆弱性(CWE-611)が存在します。
下記すべての条件を満たす場合、細工されたXMLファイルを読み込むことにより、サーバ上の任意のファイルを攻撃者に読み取られる可能性があります。
  • WebManagerサービスを有効にしている。
  • Cluster WebUI/WebManager用パスワードが設定されていない。
  • Cluster WebUI/WebManagerの「クライアントIPアドレスによって接続を制御する」機能を有効にしていない。
  • Cluster WebUI/WebManagerの通信方式をHTTPSに設定していない。(CLUSTERPRO X 4.0 以降)

[対象となるバージョン]
本脆弱性の対象となる CLUSTERPRO X のバージョンは本ページ末尾の「補足/関連情報」をご確認ください。
CLUSTERPRO X のバージョンおよび内部バージョンは Cluster WebUI または WebManager から確認可能です。確認方法は本ページ末尾の「関連情報」をご確認ください。

[対処]
以下の 1. または 2. を実施してください。
1. 本脆弱性を修正するアップデートを適用してください。
本脆弱性の修正のみを行ったアップデートです。その他に動作・仕様の変更はありません。
  • CLUSTERPRO X 4.1/X 4.2 for Windows アップデートモジュール (CPRO-XWA40-08)
    ご使用のバージョンがCLUSTERPRO X 4.1未満の場合、CLUSTERPRO X 4.1以降へのバージョンアップが必要です。
  • CLUSTERPRO X SingleServerSafe 4.1/4.2 for Windows アップデートモジュール (CPRO-XWC40-01)
    ご使用のバージョンがCLUSTERPRO X SingleServerSafe 4.1未満の場合、CLUSTERPRO X SingleServerSafe 4.1以降へのバージョンアップが必要です。

2. 以下の回避策を実施してください。
  • Cluster WebUI/WebManager用パスワードを設定する。
  • Cluster WebUI/WebManagerの「クライアントIPアドレスによって接続を制御する」機能を設定する。
  • Cluster WebUI/WebManagerの通信方式をHTTPSに設定する。(CLUSTERPRO X 4.0 以降)

[参考情報]
Japan Vulnerability Notes JVN#:06446084
CLUSTERPRO X および EXPRESSCLUSTER X における XML 外部実体参照 (XXE) に関する脆弱性
http://jvn.jp/jp/JVN06446084/

製品名カテゴリ

CLUSTERPRO X

補足/関連情報

このFAQの対象製品バージョンは以下のとおりです。

  CLUSTERPRO X 1.0 for Windows
  CLUSTERPRO X 2.0 for Windows
  CLUSTERPRO X 2.1 for Windows
  CLUSTERPRO X 3.0 for Windows
  CLUSTERPRO X 3.1 for Windows
  CLUSTERPRO X 3.2 for Windows
  CLUSTERPRO X 3.3 for Windows
  CLUSTERPRO X 4.0 for Windows
  CLUSTERPRO X 4.1 for Windows
  CLUSTERPRO X 4.2 for Windows (内部バージョン 12.22以前)

  CLUSTERPRO X 1.0 SingleServerSafe for Windows
  CLUSTERPRO X 2.0 SingleServerSafe for Windows
  CLUSTERPRO X 2.1 SingleServerSafe for Windows
  CLUSTERPRO X 3.0 SingleServerSafe for Windows
  CLUSTERPRO X 3.1 SingleServerSafe for Windows
  CLUSTERPRO X 3.2 SingleServerSafe for Windows
  CLUSTERPRO X 3.3 SingleServerSafe for Windows
  CLUSTERPRO X 4.0 SingleServerSafe for Windows
  CLUSTERPRO X 4.1 SingleServerSafe for Windows
  CLUSTERPRO X 4.2 SingleServerSafe for Windows (内部バージョン 12.22以前)

関連情報

  • コンテンツID: 3150115211
  • 公開日: 2020年09月01日
  • 最終更新日:2021年05月17日

アンケート

サポート情報充実のためアンケートにご協力をお願いいたします。



コメント欄:
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。