本セキュリティ情報では、Sitecore製品における重大な脆弱性(SC2021-003-499266)と、その解決策についてお知らせいたします。
この問題は、Report.ashxファイルの安全でないシリアル化の解除による、リモートコード実行の脆弱性に関連します。このファイルは、バージョン8.0 Initial Releaseで非推奨となった(Silverlightレポートの)Executive Insight Dashboardを実施するために使用されていたものです。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに修正プログラムを適用していただくことを推奨いたします。また、お客様の環境をセキュリティに対応したバージョンに維持し、遅滞なく適用していただくことを推奨いたします。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
影響を受けるバージョン
脆弱性SC2021-003-499266は以下のSitecore XPバージョンに影響を与えます。
この脆弱性は、インターネットに公開されているシングルおよびマルチ インスタンス環境、マネージド クラウド環境およびすべてのSitecoreサーバーのロール(Content DeliveryおよびContent Editing, Reporting, Processingなど)を含む影響を受けるSitecoreバージョンを対象とします。
影響を受けるバージョン向けの解決策がご利用いただけます。
影響を受けないバージョン
以下のSitecore XPバージョンは、この脆弱性の影響を受けません。
「影響を受けるバージョン」の節に記載されていないバージョンについては、この脆弱性の影響を受けません。
この脆弱性を修正するには、以下の方法のいずれかを実施してください。
※バージョン8.0.0以降、Report.ashxファイルは不要になったため、安全に削除することができます。