最新のアップデートに関する情報

説明

この記事では、Sitecoreソフトウェアの重大な脆弱性（SC2021-001-475944）と、その解決策について説明しています。

この問題は、.NETのSystem.Text.Encodings.Web.dllのリモート コード実行脆弱性に関係しています（CVE-2021-26701）。

弊社は、Sitecoreのお客様とパートナー様に下記の情報について熟知していただき、全てのSitecoreシステムに修正を適用していただくことをお勧めいたします。また、お客様の環境をセキュリティに対応したバージョンに維持し、全ての利用可能なセキュリティ修正プログラムを、遅滞なく適用していただくことを推奨いたします。

最新のセキュリティ情報に関する通知を受け取りたい場合は、セキュリティ情報を購読してください。

重大度の定義

お客様およびパートナー様がセキュリティ脆弱性の重大度を理解しやすくなるよう、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題を説明いたします。

バージョン

影響を受けるバージョン

脆弱性SC2021-001-475944は、以下のSitecore XPバージョンに影響します。

• Sitecore XP 9.0 Update-1
• Sitecore XP 9.0 Update-2
• Sitecore XP 9.1 Initial Release
• Sitecore XP 9.1 Update-1
• Sitecore XP 9.2 Initial Release
• Sitecore XP 9.3 Initial Release
• Sitecore XP 10.0 Initial Release
• Sitecore XP 10.0 Update-1
• Sitecore XP 10.1 Initial Release

上記には、CMSオンリー モードおよびxDB有効化モード、単一インスタンスおよび複数インスタンス環境、Managed Cloud環境、そして全てのSitecoreのサーバー ロール（コンテンツ配信(CD)、コンテンツ編集(CM)、Reporting、Processing、パブリッシュなど）が含まれます。

また、以下のSitecore Commerceバージョンにも影響します。

• Sitecore Commerce 8.2.1 Initial Release
• Sitecore Commerce 8.2.1 Update-1
• Sitecore Commerce 8.2.1 Update-2
• Sitecore Commerce 8.2.1 Update-3
• Sitecore Experience Commerce 9.0 Initial Release
• Sitecore Experience Commerce 9.0 Update-1
• Sitecore Experience Commerce 9.0 Update-2
• Sitecore Experience Commerce 9.0 Update-3
• Sitecore Experience Commerce 9.1 Initial Release
• Sitecore Experience Commerce 9.2 Initial Release
• Sitecore Experience Commerce 9.3 Initial Release
• Sitecore Identity provided with Sitecore Experience Commerce 9.0 (バージョン1.0から1.4)

加えて、幾つかのスタンドアローン サービスも影響を受けます。

• Sitecore Identity (バージョン2.0.0から6.0.0)
• Sitecore Horizon (バージョン9.3.0 Initial Releaseおよび10.1.0)
• Sitecore Publishing Service (バージョン1.1 Initial Releaseから5.0.0)

影響を受けるバージョン向けの解決策がご利用いただけます。

重要な注意点:

• コンテナ環境で実行されているSitecore 10.1 Initial Releaseの脆弱性を解決するには、ソリューションを10.1 update-1にアップデートしてください。
• コンテナ環境で実行されているSitecore 10.0 Initial ReleaseまたはSitecore 10.0 Update-1の脆弱性を解決するには、ソリューションを10.0 update-2にアップデートしてください。
• バージョン4.0.0より前のSitecore Publishing Serviceをソリューションで使用されている場合は、Sitecoreサポートにお問い合わせいただき、互換性のあるソリューションを入手してください。

影響を受けないバージョン

以下のSitecore XPバージョンはこの脆弱性の影響を受けません。

• Sitecore XP versions 9.0 Initial Release およびそれ以前のバージョン。
• Sitecore XP versions 10.0 Update-2 およびそれ以降の10.0系列のバージョン。
• Sitecore XP versions 10.1 Update-1 およびそれ以降の10.1系列のバージョン。

Sitecore Commerceおよびその他のモジュールで、「影響を受けるバージョン」の節に記載されていないバージョンについては、この脆弱性の影響を受けません。

解決策

この脆弱性を修正するには、System.Text.Encodings.Web.dllを置き換え、必要に応じてバインディング リダイレクトを適用します。
Sitecoreバージョン9.0 Update-1から10.1 Initial Release（10.0 Update-2は除く）は、更新する必要があります。

オンプレミスのソリューションについては、CVE-2021-26701の「How do I fix the issue」のセクションで言及されているアップグレードを全てのマシンにインストールする必要があります。

※註: Sitecore XP 10.1 Initial Releaseは、Sitecore XP 10.1 Update-1にアップグレードすることを強く推奨いたします。その他の方法としては、System.Text.Encodings.Webアセンブリをアップグレードする方法が考えられます。しかしこの場合、4.7.2にアップグレードする必要があるのに対して、他の影響を受けるSitecore XPバージョンはこのアセンブリのバージョンを4.5.1にアップグレードする事が必要です。

新しいSystem.Text.Encodings.Webパッケージは、以下のリンクから入手できます。
4.5.1 / 4.7.2

XP1トポロジーが使用されており、「System.Text.Encodings.Web.dll」が以下の「アセンブリのパス」に存在する場合は、以下の表を参考にコンポーネントをアップデートしてください。

ロール名	アセンブリの バージョン	アセンブリのパス	設定のパス
CM	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
CD	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
Processing	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
Reporting	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
MA	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
MA Engine	4.5.1 / 4.7.2	wwwroot\{instance}\App_data\jobs\ continuous\ AutomationEngine\	{Location path}\ Sitecore.MAEngine.exe.config   or  {Location path}\maengine.exe.config
MA Reporting	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
Collection	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
Cortex Processing	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
Cortext Processing Engine	4.5.1 / 4.7.2	wwwroot\{instance}\App_Data\jobs\ continuous\ ProcessingEngine	{Location path}\ Sitecore.ProcessingEngine.exe.config
Cortex Reporting	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
Collection Search	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
Index Worker	4.5.1 / 4.7.2	wwwroot\{instance}\App_data\jobs\ continuous\IndexWorker\	{Location path}\ Sitecore.XConnectSearchIndexer.exe.config
RefData	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	{Location path}\Web.config

 

XP0トポロジーが使用されており、「System.Text.Encodings.Web.dll」が以下の「アセンブリのパス」に存在する場合は、以下の表を参考にコンポーネントをアップデートしてください。

ロール名	アセンブリの バージョン	アセンブリのパス	設定のパス
CM/CD	4.5.1 / 4.7.2	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
Collection MA	4.5.1 / 4.7.2	wwwroot\{collection instance}\App_Data\jobs\ continuous\AutomationEngine\	{Location path}\ Sitecore.MAEngine.exe.config   or  {Location path}\maengine.exe.config
Collection Index Worker	4.5.1 / 4.7.2	wwwroot\{collection instance}\App_Data\jobs\ continuous\IndexWorker\	{Location path}\ Sitecore.XConnectSearchIndexer.exe.config
ProcessingEngine	4.5.1 / 4.7.2	wwwroot\{collection instance}\App_Data\jobs\ continuous\ProcessingEngine\	{Location path}\ Sitecore.ProcessingEngine.exe.config
Collection	4.5.1 / 4.7.2	wwwroot\{collection instance}\bin\	wwwroot\{collection instance}\Web.config

 

脆弱性のあるSystem.Text.Encodings.Web.dllアセンブリは、SearchおよびCollection xConnectロールの「tools」と「collectiondeployment」フォルダーの配下に存在します。このツールはSitecore XPのデプロイメントの間に一回だけ実行され、Sitecore XPの実行コードの一部ではありません。そのため、これらはそのままにして問題ありませんが、必要な場合は両方のフォルダーを削除するか、もしくはアセンブリ バージョン4.7.2にアップデートしても問題ありません。

註: 下記のバインディング リダイレクトの記述で記載されているバージョンは、この記事およびNuGet Galleryで言及されている4.5.1/4.7.2のバージョン表記とは異なりますが、正しいものです。
下記のバージョンは、「System.Text.Encodings.Web」のAssemblyVersion属性の値を示しています。

「設定のパス」欄に示されているファイルを、次の4.5.1バージョン向けのアセンブリ バインディング設定を使用して更新してください。

<dependentAssembly> 
 <assemblyIdentity name="System.Text.Encodings.Web" publicKeyToken="cc7b13ffcd2ddd51" culture="neutral" /> 
    <bindingRedirect oldVersion="0.0.0.0-4.0.3.1" newVersion="4.0.3.1" /> 
</dependentAssembly>

Sitecore XP 10.1 Initial Releaseに関しては、「設定のパス」欄に示されているファイルを、次の4.7.2バージョン向けのアセンブリ バインディング設定を使用して更新してください。

<dependentAssembly> 
    <assemblyIdentity name="System.Text.Encodings.Web" publicKeyToken="cc7b13ffcd2ddd51" culture="neutral" /> 
    <bindingRedirect oldVersion="0.0.0.0-4.0.5.1" newVersion="4.0.5.1" /> 
</dependentAssembly> 

 

Sitecore Experience Commerceをアップデートする

以下の手順に従って、CommerceエンジンSDKをリビルドし、全てのエンジン インスタンスを再パブリッシュします。

1. Visual StudioでCommerceエンジンSDKの「Sitecore.Commerce.Engine」プロジェクトを開きます。
2. NuGet Package Managerを使用して、「System.Text.Encodings.Web」4.5.1の参照をプロジェクトに追加します。
3. エンジンのソリューションをビルドし、ビルドの出力フォルダーに「System.Text.Encodings.Web」の適切なバージョンが存在することを確認します。
4. エンジンをパブリッシュし、既存のインスタンスを置き換えます。

Sitecore Experience Commerce 9.0 Initial Release、Update-1、Update-2およびUpdate-3バージョンにも、Sitecore Identityの古いバージョン（1.0から1.4） が含まれていますが、そのバイナリも、「System.Text.Encodings.Web.dll」の影響を受けるバージョンを含んでいます。

脆弱性を解決するには、Sitecore Identity Server SDKをビルドしてパブリッシュする必要があります。

1. Visual Studioで、Sitecore Identity Server SDKの「Sitecore.IdentityServer」プロジェクトを開きます。
2. NuGet Package Managerを使用して、「System.Text.Encodings.Web」4.5.1の参照をプロジェクトに追加します。
3. Identity Serverのソリューションをビルドし、ビルドの出力フォルダーに「System.Text.Encodings.Web」の適切なバージョンが存在することを確認します。
4. Identity Serverをパブリッシュし、既存のインスタンスを置き換えます。

Sitecore Identity Server SDKの詳細につきましては、このページ（英語）をご参照ください。

 

Sitecore IdentityとSitecore Horizon Standalone Servicesをアップデートする

いくつかのサービスには独自のライフサイクルがあり、異なるバージョンのSystem.Text.Encodings.Web.dllが必要です。当該インスタンスのrootフォルダーのライブラリを置き換えます。

以下のテーブルに記載されているバージョンはアップデートが必要です。

製品名	アセンブリの バージョン	アセンブリのパス
Sitecore Identity 2.0.0-4.0.0	4.5.1	wwwroot\{instance}\
Sitecore Identity 5.0.0	4.5.1	wwwroot\{instance}\refs\
Sitecore Identity 5.1.0	4.7.2	wwwroot\{instance}\
Sitecore Identity 6.0.0	4.7.2	wwwroot\{instance}\refs\
Sitecore Horizon 9.3.0	4.5.1	wwwroot\{instance}\
Sitecore Horizon 10.1.0	4.7.2	wwwroot\{instance}\

System.Text.Encodings.Webパッケージの.netstandard2.0 4.5.1 / 4.7.2バージョンを使用します。

 

Sitecore Publishing Service Standalone Serviceをアップデートする

ソリューションで使用されているPublishing Serviceのバージョンによって、手順が若干異なります。

• Sitecore Publishing Service 5.0.0では、インスタンスのrootフォルダーのライブラリを置き換えます。
  

  System.Text.Encodings.Webパッケージの.netstandard2.0 4.7.2バージョンを使用します。

  次に、バインディング リダイレクトをSitecore.Framework.Publishing.Host.exe.configファイルに追加します。

  <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1"> 
    <dependentAssembly> 
      <assemblyIdentity name="System.Text.Encodings.Web" publicKeyToken="cc7b13ffcd2ddd51" culture="neutral" /> 
      <bindingRedirect oldVersion="0.0.0.0-4.0.5.1" newVersion="4.0.5.1" /> 
    </dependentAssembly> 
  </assemblyBinding> 

• Sitecore Publishing Service 4.1.0-4.3.0では、以下のhotfixをインストールします（これを実施するとPublishing Serviceインスタンスが4.3.0にアップデートされることにご注意ください）。
  

  SC Hotfix 475947-1.zip

• Sitecore Publishing Service 4.0.0では、以下の手順を適用します。
  
  
  • 以下のhotfixをインストールします（Publishing Serviceインスタンスが4.3.0にアップデートされることにご注意ください） 。
    SC Hotfix 475947-1.zip
    
    
  • Sitecore Publishing Service Module 9.1.0またはSitecore Publishing Service Module 9.1.1をインストールします（どちらを使用するかはSitecore XPインスタンスのバージョンによって異なります）。
    
    
  • SXAがソリューションにインストールされている場合は、以下の記事に記載されているhotfixを適用します。
    System.IO.FileNotFoundException thrown when publishing SXA sites 
    
    
• Sitecore Publishing Service 2.2の全てのリリースおよびSitecore Publishing Service 3.1では、インスタンスのrootフォルダーのライブラリを置き換え、「System.Text.Encodings.Web」の既存のバインディング リダイレクトを、以下のものに置き換えます。
  

  System.Text.Encodings.Webパッケージの.netstandard2.0 4.5.1バージョンを使用します。

  次に、Sitecore.Framework.Publishing.Host.exe.configファイルで既存のバインディング リダイレクトを以下のものに置き換えます。

  <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1"> 
    <dependentAssembly> 
      <assemblyIdentity name="System.Text.Encodings.Web" publicKeyToken="cc7b13ffcd2ddd51" culture="neutral" /> 
      <bindingRedirect oldVersion="0.0.0.0-4.0.3.1" newVersion="4.0.3.1" /> 
    </dependentAssembly> 
  </assemblyBinding> 

• Sitecore Publishing Serviceバージョン2.2 Initial Releaseより前のバージョンおよび3.1 Initial Releaseより前のバージョンをご利用の場合は、Sitecoreサポートに連絡し、互換性のあるソリューションを入手してください。

更新履歴（英語版）

• 2021年6月21日: Sitecore XP 10.1 Initial Releaseで、アセンブリ バージョンが4.7.2に修正されました。
• 2021年6月22日: 重大度が「Critical」に設定されました。AssemblyVersion属性がマーケティング パッケージのバージョンと異なることについての注意事項が追加されました。
• 2021年6月23日: 影響を受けるSitecore Commerceバージョンおよびそのソリューションを追加しました。Sitecore IdentityおよびHorizonのパッケージ バージョンの参照を追加しました。
• 2021年6月24日: Sitecore Commerceに関する手順を追加しました。SearchおよびCollection xConnectロールに関する注意事項が追加されました。
• 2021年6月25日: Sitecore XP 10.1 Initial Releaseでの優先的な解決策としてSitecore XP 10.1 Update-1へのアップグレードを指定しました。記事のスタイルを一部変更しました。
• 2021年6月30日: Sitecore Publishing Service 4.0.0向けの解決策を追加しました。影響を受けるSitecore Experience Commerceバージョンを追加しました。各Sitecoreロールの「設定のパス」を追加し、作業指示の内容をそれに応じて更新しました。Collection Deploymentロールをテーブルから削除しました。Sitecore Experience Commerce 9.0.xで提供されるSitecore Identity向けの解決策を追加しました。
  2021年6月30日: 記事のスタイルを一部変更しました。
• 2021年7月1日: System.Text.Encodings.Web.dllは「アセンブリのパス」欄に存在する場合にのみ更新されるべきであることを明確に記載しました。
• 2021年7月5日: コンテナ化環境で動作しているSitecore XP 10.0 Initial Releaseおよび10.0 Update-1は問題を解決するために10.0 Update-2へアップグレードする必要がある点を明記しました。オンプレミス ソリューションでの必要なアップグレードに関する見解を追加しました。
  2021年7月6日: 「影響を受けないバージョン」 に、Sitecore XP 10.0 Update-2および10.1 Update-1では問題が解決していることを記載しました。Sitecore Experience Commerce 9.0.xで提供されるSitecore Identity向けの解決策の手順を修正しました。
  2021年7月13日: 7月5日の更新履歴について、アップグレードの提案がコンテナ化ソリューションに関するものであることを明記しました。
• 2021年7月20日: 「影響を受けるバージョン」に記載されていないSitecore Commerceバージョンは脆弱性の影響を受けないことを明示しました。
• 2021年7月21日: Sitecore Publishing Service 2.2 Update-1およびSitecore Publishing Service 3.1 Update-4向けの解決策の手順を追加しました。
• 2021年7月27日: Sitecore Publishing Service 2.2の全てのリリースおよびSitecore Publishing Service 3.1向けの一般的な解決策を追加しました。
• 2021年9月17日: スタイルに軽微な変更を実施しました。
• 2023年10月17日: ストレージの移行によって発生した、Sitecore Publishing Service 4.1.0-4.3.0およびSitecore Publishing Service 4.0.0向けのhotfixのリンク切れを修正しました。