CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性(CVE-2016-1145)の影響と対処
[本ドキュメントの対象となる製品]
- MIRACLE CLUSTERPRO X に関する全ての製品
- MIRACLE CLUSTERPRO X (MIRACLE LINUX V6)
- MIRACLE CLUSTERPRO X (MIRACLE LINUX V5)
- MIRACLE CLUSTERPRO X 1.0 (Asianux Server 3 バンドル)
- MIRACLE CLUSTERPRO X 1.0 (MIRACLELINUX V4.0 バンドル)
- MIRACLE FailSafe に関する全ての製品
- Asianux Server 4 == MIRACLE LINUX V6 HA
- Asianux Server 3 == MIRACLE LINUX V5 HA
- MIRACLE FailSafe 1.0 (MIRACLE LINUX 4.0)
- MIRACLE CLUSTERPRO SSS v1.0 (MIRACLE LINUX V4.0 バンドル)
- MIRACLE ZBX アプライアンス製品
- MIRACLE ZBX8220
- MIRACLE ZBX8200
- MIRACLE ZBX8000a
[概要]
2016年1月29日にCLUSTERPRO Xのディレクトリトラバーサルの脆弱性が発見されました。
この脆弱性はCLUSTERPRO XのWeb Manager機能にアクセス可能な第三者によって、本製品からアクセス可能な任意のファイルを取得される可能性があります。
[影響の有無の確認方法]
下記手順を用いてCLUSTERPRO Xの内部バージョンをご確認ください。
Web Managerを用いてバージョンを確認する方法
Web Managerの「ヘルプ(H)」→「バージョン情報(V)」を選択してください。
CLI から確認する方法
CLUSTERPROがインストールされている環境で、下記コマンドを実行してください。
(表示は一例です。)
# rpm -q --qf "%{name}: %{version}-%{release}\n" clusterpro
clusterpro: 3.3.1-1
# rpm -q --qf "%{name}: %{version}-%{release}\n" miracle-failsafe
miracle-failsafe: 3.3.1-1
【対応表】
| CLUSTERPRO X の内部バージョン | 本脆弱性への影響 |
|---|---|
| 3.3.2-1 未満のバージョン | あり |
| MIRACLE FailSafe の内部バージョン | 本脆弱性への影響 |
|---|---|
| 3.3.2-1 未満のバージョン | あり |
[回避方法]
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- IPアドレスによるアクセス制限を有効にする
- パスワードによるアクセス制限を有効にする
http://jpn.nec.com/clusterpro/clp/doc/x33/L33_RG_JP_03.pdf
第1章 WebManagerの機能
= WebManager の接続制限、操作制限を設定する (P.111〜)
[解決方法]
最新版へアップデートすることにより、本脆弱性を解決することが可能です。
詳細につきましては当社サポートセンターへお問い合わせください。
[参考URL]
CLUSTERPRO におけるディレクトリトラバーサルの脆弱性
http://jpn.nec.com/security-info/secinfo/nv16-001.html
JVN#03050861 CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN03050861/
[注意事項]
本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等に基づく参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行ったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
[更新履歴]
2016年2月5日 新規作成
2016年2月8日 影響の有無の確認方法を一部修正