現在位置: ホーム / その他の製品サポート情報 / MIRACLE CLUSTERPRO X4 技術情報 / MIRACLE CLUSTERPRO X4 サポート関連情報 / MIRACLE CLUSTERPRO X および MIRACLE FailSafe の複数の脆弱性の影響と対処

MIRACLE CLUSTERPRO X および MIRACLE FailSafe の複数の脆弱性の影響と対処

本ドキュメントの対象となる製品

MIRACLE CLUSTERPRO X および MIRACLE FailSafe に関する全ての製品

概要

MIRACLE CLUSTERPRO X および MIRACLE FailSafe の WebManager/Cluster WebUI には、次の複数の脆弱性が存在します。

・認証の欠如の脆弱性(CVE-2023-39544)
・外部からアクセス可能なファイルまたはディレクトリに関する脆弱性(CVE-2023-39545)
・認証バイパスの脆弱性(CVE-2023-39546)
・Capture-replay による認証回避の脆弱性(CVE-2023-39547)
・危険なタイプのファイルの無制限アップロードに関する脆弱性(CVE-2023-39548)

発生バージョン

2023年11月17日以前にリリースされた全ての MIRACLE CLUSTERPRO X および MIRACLE FailSafe

対処方法

MIRACLE CLUSTERPRO X および MIRACLE FailSafe のバージョン 3.3、4.3、5.1 につきましては、最新版へアップデートすることにより、本不具合を解決することが可能です。

詳細につきましては当社サポートセンターへお問い合わせください。

それ以前のバージョンの MIRACLE CLUSTERPRO X および MIRACLE FailSafe につきましては、下記に記載する回避・軽減策の適用をご検討ください。

回避・軽減策

Cluster WebUI/WebManager の「WebManager サービスを有効にする」設定を無効にしてください。サービスを無効化することで WebManager サービスへの通信を遮断することができます。

WebManager サービスを無効化することができない場合、次の回避策のいずれかを適用することで、本脆弱性の影響を軽減することが可能です。

Firewall を有効にし、WebManager の HTTP ポート(既定値: 29003) について信頼できる管理クライアントのみに接続要求の受付を許可する。

Cluster WebUI/WebManager の通信方式を HTTPS に設定する。

参考情報

CLUSTERPRO X に複数の脆弱性

https://jpn.nec.com/security-info/secinfo/nv23-009.html

CVE-2023-39544

https://www.cve.org/CVERecord?id=CVE-2023-39544
CVE-2023-39545

https://www.cve.org/CVERecord?id=CVE-2023-39545

CVE-2023-39546

https://www.cve.org/CVERecord?id=CVE-2023-39546

CVE-2023-39547

https://www.cve.org/CVERecord?id=CVE-2023-39547

CVE-2023-39548

https://www.cve.org/CVERecord?id=CVE-2023-39548

JVN
https://jvn.jp/vu/JVNVU98954968/index.html

注意事項

本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等に基づく参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行ったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。

更新履歴

2023年11月29日新規作成

タグ: サポート関連情報

MIRACLE CLUSTERPRO X4 サポート

MIRACLE CLUSTERPRO X4 サポート関連情報