JVNVU#93704047
CLUSTERPRO Xにおける複数の脆弱性

日本電気株式会社が提供するCLUSTERPRO Xには、複数の脆弱性が存在します。

• CLUSTERPRO X 1.0 for Windows
• CLUSTERPRO X 2.0 for Windows
• CLUSTERPRO X 2.1 for Windows
• CLUSTERPRO X 3.0 for Windows
• CLUSTERPRO X 3.1 for Windows
• CLUSTERPRO X 3.2 for Windows
• CLUSTERPRO X 3.3 for Windows
• CLUSTERPRO X 4.0 for Windows
• CLUSTERPRO X 4.1 for Windows
• CLUSTERPRO X 4.2 for Windows
• CLUSTERPRO X 4.3 for Windows
• CLUSTERPRO X 5.0 for Windows
• CLUSTERPRO X SingleServerSafe 1.0 for Windows
• CLUSTERPRO X SingleServerSafe 2.0 for Windows
• CLUSTERPRO X SingleServerSafe 2.1 for Windows
• CLUSTERPRO X SingleServerSafe 3.0 for Windows
• CLUSTERPRO X SingleServerSafe 3.1 for Windows
• CLUSTERPRO X SingleServerSafe 3.2 for Windows
• CLUSTERPRO X SingleServerSafe 3.3 for Windows
• CLUSTERPRO X SingleServerSafe 4.0 for Windows
• CLUSTERPRO X SingleServerSafe 4.1 for Windows
• CLUSTERPRO X SingleServerSafe 4.2 for Windows
• CLUSTERPRO X SingleServerSafe 4.3 for Windows
• CLUSTERPRO X SingleServerSafe 5.0 for Windows

日本電気株式会社が提供するCLUSTERPRO Xには、次の複数の脆弱性が存在します。

• パストラバーサル（CWE-22）- CVE-2022-34822
• スタックベースのバッファオーバーフロー（CWE-121）- CVE-2022-34823
• インストール時の不適切なファイルアクセス権設定（CWE-276）- CVE-2022-34824
• ファイル検索パスの制御不備（CWE-427）- CVE-2022-34825

遠隔の第三者によってシステム上の既存ファイルを上書きされ、結果として任意のコードを実行される可能性があります。

CVE-2022-34822およびCVE-2022-34823向け対策
開発者が提供する情報をもとに、修正パッチを適用するか回避策を適用してください。

修正パッチを適用する

• CLUSTERPRO X 5.0 for Windows (内部バージョン 13.00 - 13.01) 
  • CLUSTERPRO X 5.0 for Windows アップデート
  • CLUSTERPRO X SingleServerSafe 5.0 for Windows アップデート
• CLUSTERPRO X 4.3 for Windows (内部バージョン 12.30 - 12.33) 
  • CLUSTERPRO X 4.3 for Windows アップデート
  • CLUSTERPRO X SingleServerSafe 4.3 for Windows アップデート
• CLUSTERPRO X 3.3 for Windows (内部バージョン 11.35)
  • CLUSTERPRO X 3.3 for Windows 追加アップデート
  • CLUSTERPRO X SingleServerSafe 3.3 for Windows 追加アップデート

• ファイアウォールにより不審な通信を遮断する
• WebManagerのHTTPポート(既定値: 29003/TCP)について、信頼できる管理クライアントのみに接続要求の受付を許可する

• CLUSTERPROのインストール先フォルダのアクセス権を確認し、不要なアクセス権を削除する