最新の更新情報

解説

本セキュリティ情報では、Sitecoreのセキュリティ関連の新しい動向（執筆時点）についてお届けします。

今回は、修正がご利用いただける重要な脆弱性（SC2016-001-128003）についてお知らせします。

Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに修正プログラムを適用していただくことを推奨いたします。

最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。

重大度の定義

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。

バージョン

影響を受けるバージョン

脆弱性SC2016-001-128003は以下のバージョンで発生します：

• Sitecore XPバージョン7.5の全バージョン
• Sitecore XPバージョン8.0の全バージョン
• Sitecore XPバージョン8.1の全バージョン
• Sitecore XPバージョン8.2 Initial Release

この脆弱性は、影響を受けるすべてのバージョンで動作しているSitecoreシステムで発生し、これにはCMS-OnlyおよびxDB対応モード、シングルおよびマルチ インスタンス環境、すべてのSitecoreサーバーのロール（Content DeliveryおよびContent Editing, Reporting, Processingなど）が含まれます。また、この脆弱性は、イントラネットなど外部からアクセスできないSitecore環境でも発生します。

影響を受けるバージョン向けの修正プログラムがご利用いただけます。

影響を受けないバージョン

• この脆弱性は、現在サポートされているSitecore CMSバージョン6.3-7.2では発生しません。
• 脆弱性はSitecore XPバージョン8.2 Update-1で修正されました。
• Sitecore xDBのクラウド環境は、適正な修正が適用されているため、脆弱性の影響を受けません。

解決策

Sitecore XPバージョン7.5-8.2の場合、Hotfixをインストールするには、以下のいずれかの方法を実施してください。

• Sitecore Package Installation Wizardを使用する場合
  
  1. Hotfixを含むSitecore Packageをこのリンクからダウンロードします。
  2. 各Sitecoreのインスタンスで、Sitecore Desktopにログインします。
  3. スタート＞開発ツール＞インストール ウイザードに移動します。
  4. ウィザードに従ってHotfixのパッケージをインストールしてください。（聞かれた場合は）「すべて書き換え」を選択します。
• ファイル システムを使用する場合
  
  1. Hotfixを含むZIPアーカイブをこのリンクからダウンロードします。  
  2. アーカイブの中身を解凍します。
  3. アーカイブの中身を各Sitecoreのインスタンスの/Websiteフォルダーにコピーします。

Hotfixのインストールに不明な点がございましたら、Sitecoreサポートにご連絡ください。

インストール後の手順

この修正プログラムでは、セッション 状態の一部となりうる.NETタイプのホワイトリストを導入します。Sitecoreのセッション状態に関する詳細情報については、以下の記事をご参照ください：
https://doc.sitecore.com/xp/en/developers/82/sitecore-experience-platform/session-state.html

お客様のシナリオによっては、セッション状態で頻繁に使用されているオブジェクト タイプが含まれるように、ホワイトリストを微調整する必要がある場合があります。

ホワイトリストの設定は\Website\App_Config\Include\Sitecore.SessionSerialization.configファイルで実施していただけます。

タイプの追加

• クラスタ環境（複数のロケーションに複数のContent Deliveryのインスタンス グループがある）を実行し、かつセッション状態にカスタムのオブジェクト タイプを含むように拡張されている場合、そのタイプをホワイトリストに含める必要があります。

  ※註：標準のASP.NET APIを使用した、標準のASP.NETのセッション状態に格納されたオブジェクトは対象外となります。

  カスタムのセッション状態のタイプを含むようホワイトリストを拡張されていない場合、400（Bad Request）のHTTPステータス エラーが出力され、以下のエントリーがSitecoreのログに出力されます。

  WARN  Binding for type MyCustomType from assembly MyCustomAssembly is not allowed.

  上記のメッセージは、現在<allowedTypes>ノードにないタイプが含まれていることを示します。

  この問題を解決するには、Sitecore.SessionSerialization.configで定義されている他のタイプの規則に従って、カスタム タイプを<allowedTypes>ノードに追加します。

• クラスタ環境を実行されない場合、ホワイトリストを拡張する必要はありません。セッション状態にカスタムのオブジェクト タイプを含める場合や、Sitecoreモジュールを使用する場合も同様です。

タイプの削除

セッション状態は影響を受けるSitecoreのバージョンによって異なるため、Sitecoreログ ファイルに以下のようなエントリーが出力されることがあります。

WARN  Failed to parse type. Input string: SomeType, SomeAssembly

上記のメッセージは、Sitecoreのバージョンに存在しないタイプが<allowedTypes>ノードに含まれていたことを示します。

これらの警告は無害ですが、ログ ファイルが過剰な警告で読みづらくならないよう、これらのアイテムを<allowedTypes>ノードから削除することを推奨します。Sitecoreでは、これらの警告がSitecoreバージョン7.5および8.0で発生することを確認いたしました。

修正プログラムを検証する

Hotfixのインストール後、インストールが正常に実施されたかどうかを検証しなければならない場合があります。

Hotfixが正常にインストールされたかどうかを確認するには、それぞれのSitecoreのインスタンスで、次の3つのファイルがあるかどうかを確認します。

もしすべてのファイルがあれば、Hotfixのインストールは正常に実施されていることになります。

• \Website\App_Config\Include\Sitecore.SessionSerialization.config
• \Website\bin\Sitecore.SessionSerialization.dll
• \Website\sitecore\service\Analytics\Session\PushSession.ashx

更新履歴（英語版）

• 2019年9月11日：セキュリティ情報RSSフィードへのリンクが追加されました。
• 2019年9月20日：Hotfixのダウンロードのリンクが更新されました。Hotfixそのものは変更されていません。
• 2021年6月30日：リンク切れとなった「セキュリティ情報RSSフィード」をKB1000489（英語版）（日本語版はKB1001521）に修正しました。スタイルに軽微な変更が実施されました。
• 2022年12月9日：「解決策」セクションのhotfixのダウンロードのリンクが更新されました。Hotfixそのものは変更されていません。