公開日:2023/01/11 最終更新日:2023/01/11

JVNVU#93704047
CLUSTERPRO Xにおける複数の脆弱性

概要

日本電気株式会社が提供するCLUSTERPRO Xには、複数の脆弱性が存在します。

影響を受けるシステム

  • CLUSTERPRO X 1.0 for Windows
  • CLUSTERPRO X 2.0 for Windows
  • CLUSTERPRO X 2.1 for Windows
  • CLUSTERPRO X 3.0 for Windows
  • CLUSTERPRO X 3.1 for Windows
  • CLUSTERPRO X 3.2 for Windows
  • CLUSTERPRO X 3.3 for Windows
  • CLUSTERPRO X 4.0 for Windows
  • CLUSTERPRO X 4.1 for Windows
  • CLUSTERPRO X 4.2 for Windows
  • CLUSTERPRO X 4.3 for Windows
  • CLUSTERPRO X 5.0 for Windows
  • CLUSTERPRO X SingleServerSafe 1.0 for Windows
  • CLUSTERPRO X SingleServerSafe 2.0 for Windows
  • CLUSTERPRO X SingleServerSafe 2.1 for Windows
  • CLUSTERPRO X SingleServerSafe 3.0 for Windows
  • CLUSTERPRO X SingleServerSafe 3.1 for Windows
  • CLUSTERPRO X SingleServerSafe 3.2 for Windows
  • CLUSTERPRO X SingleServerSafe 3.3 for Windows
  • CLUSTERPRO X SingleServerSafe 4.0 for Windows
  • CLUSTERPRO X SingleServerSafe 4.1 for Windows
  • CLUSTERPRO X SingleServerSafe 4.2 for Windows
  • CLUSTERPRO X SingleServerSafe 4.3 for Windows
  • CLUSTERPRO X SingleServerSafe 5.0 for Windows
開発者によると、CVE-2022-34824およびCVE-2022-34825に関しては、当該製品のインストール先を既定値(C:\Program Files\CLUSTERPRO または C:\Program Files\CLUSTERPRO SSS)から変更していない場合は、本脆弱性の影響を受けないとのことです。

詳しくは、開発者が提供する情報をご確認ください。

詳細情報

日本電気株式会社が提供するCLUSTERPRO Xには、次の複数の脆弱性が存在します。

想定される影響

遠隔の第三者によってシステム上の既存ファイルを上書きされ、結果として任意のコードを実行される可能性があります。

対策方法

CVE-2022-34822およびCVE-2022-34823向け対策
開発者が提供する情報をもとに、修正パッチを適用するか回避策を適用してください。

修正パッチを適用する

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
  • ファイアウォールにより不審な通信を遮断する
  • WebManagerのHTTPポート(既定値: 29003/TCP)について、信頼できる管理クライアントのみに接続要求の受付を許可する
CVE-2022-34824およびCVE-2022-34825向け対策
管理者以外のアクセス権を付与したディレクトリ配下に当該製品のインストール先を変更している場合は、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

ワークアラウンドを実施する
  • CLUSTERPROのインストール先フォルダのアクセス権を確認し、不要なアクセス権を削除する
詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
日本電気株式会社 CLUSTERPRO X に複数の脆弱性

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia