よくあるご質問(サポートFAQ)

CLUSTERPRO：CLUSTERPRO X における複数の脆弱性(CVE-2022-34822～34825)について

質問内容

CLUSTERPRO X における以下の脆弱性について教えてください。

CVE-2022-34822
CVE-2022-34823
CVE-2022-34824
CVE-2022-34825

回答内容

[概要]
CLUSTERPRO X には、下記の脆弱性が存在します。

CVE-2022-34822	ディレクトリトラバーサルの脆弱性
遠隔の第三者によって細工されたネットワークパケットを受信することで任意のファイルを読み取られる可能性があります。

CVE-2022-34823	スタックベースのバッファオーバフローの脆弱性
遠隔の第三者によって細工されたネットワークパケットを受信することで任意のコードを実行される可能性があります。

CVE-2022-34824	ファイル・フォルダにおけるアクセス権の脆弱性
CVE-2022-34825	ファイル・フォルダにおけるアクセス権の脆弱性
情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

[対象となるバージョン]
本脆弱性の対象となる CLUSTERPRO X のバージョンは本ページ末尾の「補足／関連情報」をご確認ください。

※	CLUSTERPRO X のバージョンおよび内部バージョンは Cluster WebUI または WebManager から確認可能です。確認方法は本ページ末尾の「関連情報」をご確認ください。

[対処]

CVE-2022-34822、CVE-2022-34823
第三者によって細工されたネットワークパケットを受信する可能性のあるシステムについては、修正パッチの適用、もしくは回避策を実施してください。
- 修正パッチについて
  CLUSTERPRO X 5.0 for Windows (内部バージョン 13.00 - 13.01) に対するアップデートを以下に公開しています。
  
  CLUSTERPRO X 5.0 for Windows アップデート
   CLUSTERPRO X SingleServerSafe 5.0 for Windows アップデート
  
  ※ 上記コンテンツの閲覧、入手にはCLUSTERPROのサポートサービスのご契約が必要です。
  
  CLUSTERPRO X 4.3 for Windows (内部バージョン 12.30 - 12.33) に対するアップデートを以下に公開しています。
  
  CLUSTERPRO X 4.3 for Windows アップデート
   CLUSTERPRO X SingleServerSafe 4.3 for Windows アップデート
  
  ※ 上記コンテンツの閲覧、入手にはCLUSTERPROのサポートサービスのご契約が必要です。
  
  CLUSTERPRO X 3.3 for Windows (内部バージョン 11.35) に対する修正パッチを以下に公開しています。
  
  CLUSTERPRO X 3.3 for Windows 追加アップデート
   CLUSTERPRO X SingleServerSafe 3.3 for Windows 追加アップデート
  
  ※ 上記コンテンツの閲覧、入手にはCLUSTERPROのサポートサービスのご契約が必要です。
- 回避策について
  Firewallを有効にし、不要な通信を遮断してください。
  - 以下のポートについて、信頼できる管理クライアントのみに接続要求の受付を許可する。
    - WebManagerのHTTPポート(既定値: 29003)

CVE-2022-34824、CVE-2022-34825
インストール先を既定値(C:\Program Files\CLUSTERPRO または C:\Program Files\CLUSTERPRO SSS)から変更していない場合は、本脆弱性に該当しません。
管理者以外のアクセス権を付与したフォルダ配下へインストール先を変更している場合は、以下の回避策を実施してください。
- 回避策について
  
  CLUSTERPRO インストール先のフォルダのアクセス権を確認し、不要なアクセス権を削除してください。
  CLUSTERPRO では Program Files フォルダと同等のアクセス権が必要です。

[参考情報]
Japan Vulnerability Notes JVN#93704047
CLUSTERPRO X における複数の脆弱性
https://jvn.jp/vu/JVNVU93704047/index.html

製品名カテゴリ

CLUSTERPRO X

補足／関連情報

このFAQの対象製品バージョンは以下のとおりです。

  CLUSTERPRO X 1.0 for Windows
  CLUSTERPRO X 2.0 for Windows
  CLUSTERPRO X 2.1 for Windows
  CLUSTERPRO X 3.0 for Windows
  CLUSTERPRO X 3.1 for Windows
  CLUSTERPRO X 3.2 for Windows
  CLUSTERPRO X 3.3 for Windows
  CLUSTERPRO X 4.0 for Windows
  CLUSTERPRO X 4.1 for Windows
  CLUSTERPRO X 4.2 for Windows
  CLUSTERPRO X 4.3 for Windows
  CLUSTERPRO X 5.0 for Windows

  CLUSTERPRO X SingleServerSafe 1.0 for Windows
  CLUSTERPRO X SingleServerSafe 2.0 for Windows
  CLUSTERPRO X SingleServerSafe 2.1 for Windows
  CLUSTERPRO X SingleServerSafe 3.0 for Windows
  CLUSTERPRO X SingleServerSafe 3.1 for Windows
  CLUSTERPRO X SingleServerSafe 3.2 for Windows
  CLUSTERPRO X SingleServerSafe 3.3 for Windows
  CLUSTERPRO X SingleServerSafe 4.0 for Windows
  CLUSTERPRO X SingleServerSafe 4.1 for Windows
  CLUSTERPRO X SingleServerSafe 4.2 for Windows
  CLUSTERPRO X SingleServerSafe 4.3 for Windows
  CLUSTERPRO X SingleServerSafe 5.0 for Windows

アンケート

サポート情報充実のためアンケートにご協力をお願いいたします。

：参考になった。
：参考にならなかった。

コメント欄：

ページの先頭へ戻る