概要
本セキュリティ情報では、Sitecore製品における中程度の脆弱性(SC2020-002-293863)と、その解決策についてお知らせします。
本問題は、以前公開されたSitecore製品における重大な脆弱性(SC2019-002-312864)に関する更新が含まれております。修正プログラムは2019年3月に利用可能となりました。
この中程度の脆弱性(SC2020-002-002-293863)が悪用されると、認証済みの脅威のアクター(攻撃者)が悪意のあるコマンドやコードを挿入し、セキュリティ管理を危険にさらすおそれがあります(CVE-2019-9875)。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreシステムに修正プログラムを適用していただくことを推奨いたします。お客様が解決策を迅速に適用できない場合は、暫定的に代替の回避策を迅速に適用し、解決策に適用する方法を検討していただくことをお勧めいたします。
Sitecoreナレッジベースでの最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください(KB1001521)。
重大度の定義
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
バージョン
影響を受けるバージョン
脆弱性SC2020-002-293863は、以下のSitecore XPバージョンに影響を与えます。
- Sitecore XP 9.1 Initial Release
- Sitecore XP 9.0 Update-2
- Sitecore XP 9.0 Update-1
- Sitecore XP 9.0 Initial Release
この脆弱性は、CMS-onlyおよびxDB対応のモード、シングル インスタンスおよびマルチ インスタンス環境、マネージド クラウド環境および全てのSitecoreサーバーのロール(Content Delivery(CD)、Content Editing、Reporting、Processing、Publishingなど)を含む影響を受けるSitecoreバージョンを対象とします。
影響を受けるすべてのSitecore XPのバージョン向けの修正プログラムがご利用いただけます。
影響を受けないバージョン
- Sitecore XP 9.1 Update-1以降のバージョンは、この脆弱性の影響を受けません。
- Sitecore XP 8.2以降のバージョンは、この脆弱性の影響を受けません。
重要事項
Sitecore XP 8.2以降のバージョンは、重大な脆弱性SC2019-002-312864の影響を受けます。Sitecoreは、セキュリティ情報SC2019-002-312864に記載されている、重大な脆弱性SC2019-002-312864の修正プログラムを迅速に適用していただくことを推奨いたします。
解決策
以下の手順に従って、Hotfixをインストールしてください。
- Sitecore.Xaml.AntiCsrf.configファイルをダウンロードし、\App_Config\Include\zzz フォルダーにコピーします。
※注意:設定パッチは\App_Config\Sitecore\AntiCSRFModule\Sitecore.AntiCsrf.configと \App_Config\Sitecore\Marketing.Xdb.MarketingAutomation.Tracking\Sitecore.Xdb.MarketingAutomation.Tracking.configファイルから元の<rule name="xaml-controls"> ノードを完全に削除し、最初のものに代わって、2つに分割された「xaml-controls」ルールを追加します。 - パッケージ インストール ウィザードを使用して、以下のHotfixをインストールしてください。
SC Hotfix 313001-2 Security.AntiCsrf 1.1.1.zip - このHotfixは、既存のファイルを置き換えます。インストールする際、インストール ウイザードが既存のファイルを上書きすることを許可してください。
修正プログラムが正常に適用されているかどうかを確認するには、Sitecore.Security.AntiCsrf.dllアセンブリの「Product Version(製品バージョン)」プロパティを確認してください。そのプロパティが「1.1.1-r00011-e000b86 Hotfix 313001-1」となっていれば成功です。
代替の回避策
もし完全な解決策が迅速に適用できない場合、影響を受けるすべてのSitecoreのインスタンスを脆弱性から保護するために、以下の代替の回避策を適用することができます。
暫定的に脆弱性を修正するには、お客様のすべてのSitecoreの環境における\Website\sitecore\shellフォルダーへのアクセスを拒否してください。
- Internet Information Services (IIS)アプリケーションで、貴社のSitecoreのWebアプリケーションにアクセスします。
- \sitecore\shellフォルダーを選択します。
- .NET Authorization Rulesをクリックします。
- Actionsパネルで、Add Deny Rule(拒否のルールを追加する)をクリックします。
- All users(すべてのユーザー)を選択し、OKをクリックします。
※注意:この回避策を適用する場合、貴社のSitecore環境でコンテンツ編集機能が使用できなくなる点にご注意ください。
もし、コンテンツ編集機能を一時的に無効にできない場合、代替策として、\Website\sitecore\shell フォルダーにIPベースのセキュリティ制限を設定し、外部ユーザーのすべてのアクセスを拒否し、悪意のあるアクターが利用できない信頼されたIPアドレスからのアクセスのみ許可することが可能です。
IPベースのセキュリティ制限の設定方法については、以下の記事を参照してください。
https://docs.microsoft.com/ja-jp/iis/configuration/system.webserver/security/ipsecurity/
更新履歴(英語版原本)
- 2020年4月2日:記事が公開されました。
- 2020年4月14日:Hotfixのインストール手順が更新されました。Hotfixのパッケージが変更されておりませんので、貴社のソリューションは引き続き安全にご利用いただけます。ただし、ユーザー マネージャ アプリケーションの「Select Roles(ロール選択)」を使用すると、「The data could not be loaded(データがロードされない)」エラーが発生する場合がありますので、これを修正するには、本記事の「解決策」節に記載されている手順1~3を実施してください。
- 2020年4月17日:上記のユーザー マネージャ アプリケーションにおけるエラーの対応として「解決策」節の手順3が更新されました。Hotfixパッケージが変更されておりませんので、前回の手順でHotfixが提供されている場合でも、貴社のソリューションは引き続き安全にご利用いただけます。
- 2020年5月1日:xDBの設定ファイルがマージされた問題を修正するため、「Sitecore.Xdb.MarketingAutomation.Tracking.config」ファイルが追加されました。Hotfixパッケージは変更されておりませんので、前回の手順でHotfixが提供されている場合でも、貴社のソリューションは引き続き安全にご利用いただけます。
- 2020年7月1日:「解決策」節に記載されている手動による手順を1つの設定ファイルに置き換えました。Hotfixパッケージは変更されておりませんので、前回の手順でHotfixが提供されている場合でも、貴社のソリューションは引き続き安全にご利用いただけます。
- 2020年12月29日:Hotfixが「SC Hotfix 313001-2 Security.AntiCsrf 1.1.1.zip」に更新されました。
- 2021年7月1日:「セキュリティ情報のRSSフィード」でリンク切れがあったため、KB1001521に修正されました。記事のスタイルに軽微な変更を実施しました。
- 2025年3月24日: 概要セクションにCVE-2019-9875へのリンクを追加しました。