製品・ソフトウェアに関する情報

JVN脆弱性詳細

CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性

Title	CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性
Summary	日本電気株式会社が提供する CLUSTERPRO X は、システムの高可用性 (HA) クラスタリングを実現するためのソフトウェアです。CLUSTERPRO X には、WebManager 機能に起因するディレクトリトラバーサルの脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社サイバーディフェンス研究所坂井　祐介氏
Possible impacts	当該製品の WebManager 機能にアクセス可能な第三者によって、任意のファイルを取得される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * IP アドレスによるアクセス制限を有効にする * パスワードによるアクセス制限を有効にする
Publication Date	Jan. 29, 2016, midnight
Registration Date	Jan. 29, 2016, 12:02 p.m.
Last Update	March 16, 2016, 2:23 p.m.

Affected System

日本電気

CLUSTERPRO X 3.3 for Windows (内部Ver. 11.31) およびそれ以前

CLUSTERPRO X 3.3 for Linux (内部Ver. 3.3.1-1) およびそれ以前

CLUSTERPRO X 3.3 for Solaris (内部Ver. 3.3.1-1) およびそれ以前

CLUSTERPRO X 3.3 for Windows (内部Ver. 11.31) およびそれ以前

CLUSTERPRO X 3.3 for Linux (内部Ver. 3.3.1-1) およびそれ以前

CLUSTERPRO X 3.3 for Solaris (内部Ver. 3.3.1-1) およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-1145	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1145
2	CVE-2016-1145	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1145
National Vulnerability Database (NVD)
3	CVE-2016-1145	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1145
4	CVE-2016-1145	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1145

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html
2	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
NEC製品セキュリティ情報
1	NV16-001	http://jpn.nec.com/security-info/secinfo/nv16-001.html
2	NV16-001	http://jpn.nec.com/security-info/secinfo/nv16-001.html

その他

Change Log

No	Changed Details	Date of change
0	[2016年01月29日] 掲載 [2016年03月16日] 参考情報：National Vulnerability Database (NVD) (CVE-2016-1145) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-1145

Summary	Directory traversal vulnerability in WebManager in NEC EXPRESSCLUSTER X through 3.3 11.31 on Windows and through 3.3 3.3.1-1 on Linux and Solaris allows remote attackers to read arbitrary files via unspecified vectors.
Publication Date	Jan. 31, 2016, 12:59 a.m.
Registration Date	Jan. 26, 2021, 2:06 p.m.
Last Update	Nov. 21, 2024, 11:45 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:nec:expresscluster_x:3.3:::::windows::
cpe:2.3:a:nec:expresscluster_x:3.3:::::linux_kernel::

Related information, measures and tools

No	URL	タグ
1	http://jpn.nec.com/security-info/secinfo/nv16-001.html	Vendor Advisory
2	http://jpn.nec.com/security-info/secinfo/nv16-001.html	Vendor Advisory
3	http://jvn.jp/en/jp/JVN03050861/index.html	Vendor Advisory
4	http://jvn.jp/en/jp/JVN03050861/index.html	Vendor Advisory
5	http://jvndb.jvn.jp/jvndb/JVNDB-2016-000015	Vendor Advisory
6	http://jvndb.jvn.jp/jvndb/JVNDB-2016-000015	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html