アップデート: 2020年3月
このセキュリティ情報には、Sitecoreソフトウェアで以前に発見された重大な脆弱性(SC2019-002-312864)に関する更新が含まれております。この脆弱性により、システムに認証されていない脅威アクターが悪意のあるコマンドやコードを挿入し、セキュリティ管理を危険にさらす可能性があります。修正プログラムは2019年3月に利用可能となりました。
最近、Sitecoreはこの重大な脆弱性が積極的に悪用されていることを把握いたしました。
Sitecoreは、セキュリティが保護されたバージョンでSitecore環境を維持すること、およびこの重大な脆弱性に迅速に修正プログラムを適用することを強くお勧めします。
したがって、Sitecoreバージョン8.2以下のすべてのお客様に、以下に詳述する解決策を迅速に適用することを強くお勧めします。お客様が解決策を迅速に適用できない場合は、暫定的に代替の回避策を迅速に適用し、解決策を優先的に適用する方法を検討していただくことをお勧めします。
説明
この記事では、Sitecoreソフトウェアの重大な脆弱性(SC2019-002-312864)、およびその修正プログラムについてご案内いたします。
重大な脆弱性SC2019-002-312864は、システムに認証されていない脅威アクターが悪意のあるコマンドやコードを挿入し、セキュリティ管理を危険にさらすことを可能とします。
Sitecoreのお客様とパートナー様には、以下の情報を精読していただき、全てのSitecoreシステムに修正プログラムを適用することをお勧めします。また、セキュリティがサポートされているバージョンで環境を維持し、利用可能な全てのセキュリティ修正プログラムを迅速に適用することをお勧めします。
Sitecoreナレッジ ベースの新しいセキュリティ情報に関する通知を受け取りたい場合は、セキュリティ アップデートを購読してください(KB1000489)。
重大度の定義
お客様とパートナー様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、KB0608800に記載されている定義を使用してセキュリティの事象をご案内いたします。
バージョン
影響を受けるバージョン
脆弱性SC2019-002-312864は次のバージョンに影響します。
- Sitecore CMSバージョン6.6.3 - Sitecore XPバージョン8.2.7
脆弱性は、影響を受けるバージョンを実行している全てのSitecoreインスタンスを対象とします。
脆弱性は、CMS-Only及びxDB対応のモード、シングル インスタンス及びマルチ インスタンス環境、マネージド クラウド環境、及び全てのSitecoreサーバーのロール(コンテンツ デリバリー、コンテンツ編集、レポート、処理、パブリッシュ等)が含まれます。
サポートされている全てのSitecore CMS・XPバージョンでHotfixを利用できます。
影響を受けないバージョン
- Sitecore XPバージョン9.0.0以降は、この脆弱性の影響を受けません。
- Sitecore xDBクラウド環境は、この脆弱性の影響を受けません。
解決策
Hotfixのインストール
製品バージョンに対応するHotfixを適用します:
- Sitecore CMSバージョン7.0: SC Hotfix 313001-1 AntiCsrf 1.0.0
- Sitecore CMSバージョン7.1: SC Hotfix 313001-1 AntiCsrf 1.0.0
- Sitecore CMSバージョン7.2: SC Hotfix 313001-1 Security.AntiCsrf 1.0.0
- Sitecore XPバージョン7.5: SC Hotfix 313001-1 Security.AntiCsrf 1.0.0
- Sitecore XPバージョン8.0: SC Hotfix 313001-1 Security.AntiCsrf 1.0.0
- Sitecore XPバージョン8.1: SC Hotfix 313001-1 Security.AntiCsrf 1.0.0
- Sitecore XPバージョン8.2: SC Hotfix 313001-1 Security.AntiCsrf 1.1.1
インストール手順については、アーカイブ内のreadme.txtファイルを参照してください。
検証
Hotfixが正常に適用されたことを確認するには、ウェブサイトの「\bin」フォルダにある「Sitecore.Security.AntiCsrf.dll」ファイルのSHA256ハッシュを確認します。ハッシュが以下に示すものと同じであることをご確認ください。
- Sitecore CMSバージョン7.0: C024CA0081AD7D8422C0853CBC317931A3AFB36829A6301008328881EA353EFB
- Sitecore CMSバージョン7.1: 2437673B92DCC039E32A991D20EAE26D92CFDF5F2E1D210210B2276A650C6448
- Sitecore CMSバージョン7.2: 2632F8FDB050AA1C4990B0761EA7140EFD113BB4918BD0DFC1E4DEE4211BB23F
- Sitecore XPバージョン7.5: 95AE0E6F2B0D30E01EFD74F079E44065BB0FFDD3A2BBE1321A7BCAB19709FA47
- Sitecore XPバージョン8.0: A11400B37457248BC627D21B41E4A6580729B399A04ABFF4AC40E2352C0C4F24
- Sitecore XPバージョン8.1: D39876450014147C4A2473926E02E71012E5F9891BBB5E3A725F1FD4811B71BA
- Sitecore XPバージョン8.2: 15CD38FC41A3EE674B1B51EF21A09BABA1DA960C73E87A19EE1BC63128A6D533
アセンブリのSHA256ハッシュは、Windows PowerShellコマンド「Get-FileHash」にて生成できます。
Get-FileHash "{path to the \bin folder}\Sitecore.Security.AntiCsrf.dll" -Algorithm SHA256 | Format-List
代替回避策
完全な解決策を迅速に適用できない場合は、影響を受ける全てのSitecoreインスタンスで次の一時的な回避策を使用して、脆弱性からインスタンスを保護できます。
この脆弱性に一時的に対処するには、全てのSitecore環境の全てのSitecoreインスタンスで「\Website\sitecore\shell」フォルダーへのアクセスを拒否します。
- インターネット インフォメーション サービス(IIS)マネージャーア プリケーションにてSitecore Webアプリケーションにアクセスします。
- 「\sitecore\shell」フォルダーを選択します。
- 「.NET Authorization Rules」をクリックします。
- 「Actions」パネルで「Add Deny Rule…」をクリックします。
- 「All users」を選択し、「OK」をクリックします。
留意点: この回避策を実装すると、Sitecore環境ではコンテンツ編集機能を使用できなくなります。
コンテンツ編集機能を一時的に無効にできない場合は、代わりに、「\Website\sitecore\shell」フォルダーのIPベースのセキュリティ制限を構成して、外部ユーザーの全てのアクセスをブロックし、信頼できるIPアドレスからのアクセスのみを許可することができます。IPベースのセキュリティ制限を構成する方法については、以下の記事を参照してください。
http://www.iis.net/ConfigReference/system.webServer/security/ipSecurity
更新の履歴
- 2019年3月1日: 記事が公開されました。
- 2020年3月30日: 「Update - March 2020」節が追加されました。
- 2020年5月6日: Hotfixの検証手順が更新され、SHA256にSitecore.Security.AntiCsrf.dllファイルのコードがリスト アップされるようになりました。Hotfixパッケージに変更はありませんので、Hotfixがすでに適用されている場合でも、貴社ソリューションは安全なままご利用いただけます。
- 2021年7月1日: 「Security Bulletins RSS Feed」のリンク切れをKB1000489の記事に変更し、スタイルを少し変更しました。