本セキュリティ情報では、Sitecoreのセキュリティ関連の新しい動向(執筆時点)についてお届けします。
今回は、修正がご利用いただける重要な脆弱性(SC2016-001-128003)についてお知らせします。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに修正プログラムを適用していただくことを推奨いたします。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
影響を受けるバージョン
脆弱性SC2016-001-128003は以下のバージョンで発生します:
この脆弱性は、影響を受けるすべてのバージョンで動作しているSitecoreシステムで発生し、これにはCMS-OnlyおよびxDB対応モード、シングルおよびマルチ インスタンス環境、すべてのSitecoreサーバーのロール(Content DeliveryおよびContent Editing, Reporting, Processingなど)が含まれます。また、この脆弱性は、イントラネットなど外部からアクセスできないSitecore環境でも発生します。
影響を受けるバージョン向けの修正プログラムがご利用いただけます。
影響を受けないバージョン
Sitecore XPバージョン7.5-8.2の場合、Hotfixをインストールするには、以下のいずれかの方法を実施してください。
Hotfixのインストールに不明な点がございましたら、Sitecoreサポートにご連絡ください。
この修正プログラムでは、セッション 状態の一部となりうる.NETタイプのホワイトリストを導入します。Sitecoreのセッション状態に関する詳細情報については、以下の記事をご参照ください:
https://doc.sitecore.com/xp/en/developers/82/sitecore-experience-platform/session-state.html
お客様のシナリオによっては、セッション状態で頻繁に使用されているオブジェクト タイプが含まれるように、ホワイトリストを微調整する必要がある場合があります。
ホワイトリストの設定は\Website\App_Config\Include\Sitecore.SessionSerialization.configファイルで実施していただけます。
タイプの追加
クラスタ環境(複数のロケーションに複数のContent Deliveryのインスタンス グループがある)を実行し、かつセッション状態にカスタムのオブジェクト タイプを含むように拡張されている場合、そのタイプをホワイトリストに含める必要があります。
※註:標準のASP.NET APIを使用した、標準のASP.NETのセッション状態に格納されたオブジェクトは対象外となります。
カスタムのセッション状態のタイプを含むようホワイトリストを拡張されていない場合、400(Bad Request)のHTTPステータス エラーが出力され、以下のエントリーがSitecoreのログに出力されます。
WARN Binding for type MyCustomType from assembly MyCustomAssembly is not allowed.
上記のメッセージは、現在<allowedTypes>ノードにないタイプが含まれていることを示します。
この問題を解決するには、Sitecore.SessionSerialization.configで定義されている他のタイプの規則に従って、カスタム タイプを<allowedTypes>ノードに追加します。
クラスタ環境を実行されない場合、ホワイトリストを拡張する必要はありません。セッション状態にカスタムのオブジェクト タイプを含める場合や、Sitecoreモジュールを使用する場合も同様です。
タイプの削除
セッション状態は影響を受けるSitecoreのバージョンによって異なるため、Sitecoreログ ファイルに以下のようなエントリーが出力されることがあります。
WARN Failed to parse type. Input string: SomeType, SomeAssembly
上記のメッセージは、Sitecoreのバージョンに存在しないタイプが<allowedTypes>ノードに含まれていたことを示します。
これらの警告は無害ですが、ログ ファイルが過剰な警告で読みづらくならないよう、これらのアイテムを<allowedTypes>ノードから削除することを推奨します。Sitecoreでは、これらの警告がSitecoreバージョン7.5および8.0で発生することを確認いたしました。
Hotfixのインストール後、インストールが正常に実施されたかどうかを検証しなければならない場合があります。
Hotfixが正常にインストールされたかどうかを確認するには、それぞれのSitecoreのインスタンスで、次の3つのファイルがあるかどうかを確認します。
もしすべてのファイルがあれば、Hotfixのインストールは正常に実施されていることになります。