最新の更新情報

解説

本セキュリティ情報では、Microsoft社によってMicrosoft Security Advisory CVE-2018-8269:Denial of Service Vulnerability in OData（ODataのサービス拒否の脆弱性）にて報告された中程度の脆弱性（SC2019-004-359228）と、その解決策について記載いたします。

脆弱性の影響を受けるMicrosoft.Data.OData.dll（バージョン5.8.4以降）アセンブリは、Sitecore Commerce Engineのリリース パッケージに含まれております。例えば、Sitecore Experience Commerceバージョン9.2 リリース パッケージに含まれているSitecore.Commerce.Engine.OnPrem.Solr.4.0.165.scwdp.zipアーカイブには、影響を受けるアセンブリが含まれています。

Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのシステムに修正プログラムを適用していただくことを推奨いたします。

Sitecoreナレッジベースでの最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。

重大度の定義

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。

バージョン

脆弱性SC2019-004-359228は、以下のSitecore Experience Commerceバージョンで発生します：

• Sitecore Commerceバージョン8.2.1.x
• SitecoreExperienceCommerceバージョン 9.0.x
• SitecoreExperienceCommerceバージョン 9.1.x
• SitecoreExperienceCommerceバージョン 9.2.x

解決策

問題のあるSitecore Experience Commerceのデプロイの脆弱性を解決するには、以下のダイナミック リンク ライブラリ(DLL)をバージョン5.8.4以降のものに置き換える必要があります。

• Microsoft.Data.OData.dll
• Microsoft.Data.Edm.dll
• System.Spatial.dll

問題のあるDLLを置き換えるには、2つの方法があります：

• DLLをダウンロードし、手動で追加します。

または

• Sitecore Commerce Engine SDKに含まれているSitecore.Commerce.Engine.csproj ファイルを修正し、Microsoft Data ODataライブラリの最新バージョンへの参照を含めます。
  
  1. Sitecore Commerce Engine SDKにて、Sitecore.Commerce.Engine.csprojファイルを開きます。
  2. Sitecore.Commerce.Engine.csprojファイルにて、参照のリストの一番上に、次の参照を追加します：<PackageReference Include="Microsoft.Data.OData" Version="5.8.4" />
  3. Nuget Package Managerを使用し、Microsoft.Data.ODataの参照を追加します。
  4. Sitecore Commerce Engineをリコンパイルし、デプロイします。

更新履歴（英語版）

• 2019年10月21日：本事象の実際の分類に従って、重大度を「クリティカル」から「中程度」に変更しました。
• 2021年3月18日：「Affected Software（影響を受けるソフトウェア）」、「Applies To（Sitecoreの製品のxxxxバージョンに該当する）」および「Fixed In（修正されたバージョン）」を更新しました。
• 2021年7月1日：「更新履歴」の節が追加されました。リンク切れであったセキュリティ情報への購読リンクをKB1001521へのリンクに置き換えました。