アップデート: 2020年3月
このセキュリティ情報には、Sitecoreソフトウェアで以前に発見された重大な脆弱性(SC2019-002-312864)に関する更新が含まれております。この脆弱性により、システムに認証されていない脅威アクターが悪意のあるコマンドやコードを挿入し、セキュリティ管理を危険にさらす可能性があります。修正プログラムは2019年3月に利用可能となりました。
最近、Sitecoreはこの重大な脆弱性が積極的に悪用されていることを把握いたしました。
Sitecoreは、セキュリティが保護されたバージョンでSitecore環境を維持すること、およびこの重大な脆弱性に迅速に修正プログラムを適用することを強くお勧めします。
したがって、Sitecoreバージョン8.2以下のすべてのお客様に、以下に詳述する解決策を迅速に適用することを強くお勧めします。お客様が解決策を迅速に適用できない場合は、暫定的に代替の回避策を迅速に適用し、解決策を優先的に適用する方法を検討していただくことをお勧めします。
この記事では、Sitecoreソフトウェアの重大な脆弱性(SC2019-002-312864)、およびその修正プログラムについてご案内いたします。
重大な脆弱性SC2019-002-312864は、システムに認証されていない脅威アクターが悪意のあるコマンドやコードを挿入し、セキュリティ管理を危険にさらすことを可能とします。
Sitecoreのお客様とパートナー様には、以下の情報を精読していただき、全てのSitecoreシステムに修正プログラムを適用することをお勧めします。また、セキュリティがサポートされているバージョンで環境を維持し、利用可能な全てのセキュリティ修正プログラムを迅速に適用することをお勧めします。
Sitecoreナレッジ ベースの新しいセキュリティ情報に関する通知を受け取りたい場合は、セキュリティ アップデートを購読してください(KB1000489)。
お客様とパートナー様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、KB0608800に記載されている定義を使用してセキュリティの事象をご案内いたします。
影響を受けるバージョン
脆弱性SC2019-002-312864は次のバージョンに影響します。
脆弱性は、影響を受けるバージョンを実行している全てのSitecoreインスタンスを対象とします。
脆弱性は、CMS-Only及びxDB対応のモード、シングル インスタンス及びマルチ インスタンス環境、マネージド クラウド環境、及び全てのSitecoreサーバーのロール(コンテンツ デリバリー、コンテンツ編集、レポート、処理、パブリッシュ等)が含まれます。
サポートされている全てのSitecore CMS・XPバージョンでHotfixを利用できます。
影響を受けないバージョン
Hotfixのインストール
製品バージョンに対応するHotfixを適用します:
インストール手順については、アーカイブ内のreadme.txtファイルを参照してください。
検証
Hotfixが正常に適用されたことを確認するには、ウェブサイトの「\bin」フォルダにある「Sitecore.Security.AntiCsrf.dll」ファイルのSHA256ハッシュを確認します。ハッシュが以下に示すものと同じであることをご確認ください。
アセンブリのSHA256ハッシュは、Windows PowerShellコマンド「Get-FileHash」にて生成できます。
Get-FileHash "{path to the \bin folder}\Sitecore.Security.AntiCsrf.dll" -Algorithm SHA256 | Format-List
完全な解決策を迅速に適用できない場合は、影響を受ける全てのSitecoreインスタンスで次の一時的な回避策を使用して、脆弱性からインスタンスを保護できます。
この脆弱性に一時的に対処するには、全てのSitecore環境の全てのSitecoreインスタンスで「\Website\sitecore\shell」フォルダーへのアクセスを拒否します。
留意点: この回避策を実装すると、Sitecore環境ではコンテンツ編集機能を使用できなくなります。
コンテンツ編集機能を一時的に無効にできない場合は、代わりに、「\Website\sitecore\shell」フォルダーのIPベースのセキュリティ制限を構成して、外部ユーザーの全てのアクセスをブロックし、信頼できるIPアドレスからのアクセスのみを許可することができます。IPベースのセキュリティ制限を構成する方法については、以下の記事を参照してください。
http://www.iis.net/ConfigReference/system.webServer/security/ipSecurity