セキュリティ情報 SC2019-003-329876


最新の更新情報

解説

本セキュリティ情報では、Sitecore開発環境でよく使用されているSitecore Rocksというオープン ソースのプラグインにおける重大な脆弱性(SC2019-003-329876)と、その解決策についてお知らせいたします。

この脆弱性により、システムに認証されない脅威アクター(攻撃者)が悪意のあるコマンドやコードを挿入し、セキュリティ管理を危険にさらす可能性があります。

Sitecore Rocksのプラグインを使用していただくSitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに修正プログラムを適用していただくことを推奨いたします。

最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。

重大度の定義

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。

バージョン

影響を受けるバージョン
脆弱性SC2019-003-329876は、Sitecore RocksのHard RockサービスがインストールされているSitecoreの環境に影響を与えます。

影響を受けないバージョン
脆弱性SC2019-003-329876は、Sitecore RocksのHard RockサービスがインストールされていないSitecoreの環境には影響を与えません。

Sitecore Rocksのプラグインの詳細情報については、以下のページをご参照ください:https://github.com/Sitecore/Sitecore.Rocks

解決策

本番環境

Using Sitecore Rocks on Sitecore XP 9.0 and later(Sitecore RocksをSitecore XPバージョン9.0以降で使用する)」の記事に記述されているように、Sitecoreの本番環境にHard Rockサービスをインストールしたり、本番環境でGood Oldサービスの匿名アクセスを有効化することは推奨いたしません。Sitecore Rocks Hard Rockサービスが本番環境にインストールされている場合、以下のファイルを削除することでアンインストールすることができます:

開発環境

ローカルの開発環境向け

  1. 最新のSitecore Rocksの拡張機能をインストールします(バージョン2.1.149以降):
    • Visual Studioの「ツール>拡張子および更新メニュー」
    • またはVisual Studio Marketplaceから手動でダウンロードします。
  2. 各Rocksの接続にて、Connections>Update Server Componentsを選択し、Update Allを選択します。

リモート開発者・テスト環境向け

  1. GitHub(バージョン2.1.149以降)のSitecore Rocksリリース ページから最新のSitecore.Rocks.Server.updateパッケージをダウンロードします。
  2. Update Installation Wizardを使用しアップデートのパッケージをインストールします。

謝辞

本記事の作成にあたり、本脆弱性を発見していただいたISEC.pl研究チームのKamil Kubacka氏に御礼申し上げます。

更新履歴(英語版)