【活用ガイド】

[English]

JVNDB-2021-000097

CLUSTERPRO X および EXPRESSCLUSTER X における複数の脆弱性

概要

日本電気株式会社が提供する CLUSTERPRO X および EXPRESSCLUSTER X には、次の複数の脆弱性が存在します。
・Disk Agent 機能にバッファオーバーフローの脆弱性 (CWE-119) - CVE-2021-20700、CVE-2021-20701
・Transaction Server 機能にバッファオーバーフローの脆弱性 (CWE-119) - CVE-2021-20702、CVE-2021-20703
・旧バージョン (Ver 8.0 以前) との互換 API 機能にバッファオーバーフローの脆弱性 (CWE-119) - CVE-2021-20704
・WebManager 機能に遠隔ファイルアップロードの脆弱性 (CWE-20) - CVE-2021-20705、CVE-2021-20706
・Transaction Server 機能にファイル読み取りの脆弱性 (CWE-20) - CVE-2021-20707

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
※上記は、CVE-2021-20700、CVE-2021-20701の評価になります。


CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
※上記は、CVE-2021-20702、CVE-2021- 20703の評価になります。


CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
※上記は、CVE-2021-20704の評価になります。


CVSS v3 による深刻度
基本値: 7.5 (重要) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 高
  • 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 7.8 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): なし
※上記は、CVE-2021-20705、CVE-2021-20706の評価になります。


CVSS v3 による深刻度
基本値: 7.5 (重要) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 7.8 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
※上記は、CVE-2021-20707の評価になります。
影響を受けるシステム


日本電気
  • CLUSTERPRO X 4.3 SingleServerSafe for Windows およびそれ以前 (EXPRESSCLUSTER X 4.3 SingleServerSafe for Windows およびそれ以前)
  • CLUSTERPRO X 4.3 for Windows およびそれ以前 (EXPRESSCLUSTER X 4.3 for Windows およびそれ以前)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・遠隔の第三者によって細工されたパケットを受信することで任意のコードを実行される - CVE-2021-20700、CVE-2021-20701、CVE-2021-20702、CVE-2021-20703、CVE-2021-20704
・遠隔の第三者によって細工されたアップロードリクエストを受け入れる - CVE-2021-20705、CVE-2021-20706
・遠隔の第三者によって細工されたパケットを受信することで任意のファイルを読み出される - CVE-2021-20707
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、CLUSTERPRO X および EXPRESSCLUSTER X に対し、本脆弱性を修正した次のアップデートをリリースしています。
  • CLUSTERPRO X 4.3 for Windows 追加アップデート (CPRO-XWA40-13)

  • CLUSTERPRO X SingleServerSafe 4.3 for Windows 追加アップデート (CPRO-XWA40-13)

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を回避することが可能です。

  • Firewall を有効にし、不要な通信を遮断する

    • 下記のポートについて、クラスタに所属するホストのみに接続要求の受付を許可する

      • データ転送 (既定値: 29002)

      • ディスクエージェント間通信 (既定値: 29004)


    • 下記のポートについて、信頼できる管理クライアントのみに接続要求の受付を許可する

      • WebManager の HTTP ポート (既定値: 29003)


    • プロセス clpoldapi.exe について、ローカルホストのみに接続要求の受付を許可する
ベンダ情報

日本電気
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [IPA評価]
  2. 不適切な入力確認(CWE-20) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2021-20700
  2. CVE-2021-20701
  3. CVE-2021-20702
  4. CVE-2021-20703
  5. CVE-2021-20704
  6. CVE-2021-20705
  7. CVE-2021-20706
  8. CVE-2021-20707
参考情報

  1. JVN : JVN#69304877
更新履歴

  • [2021年10月29日]
      掲載
  • [2021年11月10日]
      影響を受けるシステム:内容を更新
      対策:内容を更新
  • [2021年11月30日]
      影響を受けるシステム:内容を更新
      対策:内容を更新