Sitecore Experience Acceleratorが依存しているオープン ソース コンポーネント(Sitecore Powershell Extensions)における重大な脆弱性(SC2016-003-136430)についてお知らせします。また、オープン ソースのSitecore Power Shell Extensionsモジュールを使用する他のプロジェクトが危険にさらされる可能性があります。
尚、Sitecore Power Shell Extensionsモジュールは、Sitecore製品に配布しておらず、デフォルトのSitecoreインストールに含まれていないことにご注意ください。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに修正プログラムを適用していただくことを推奨いたします。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください:KB1001521
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
影響を受けるバージョン
脆弱性2016-003-136430は、Sitecore Power Shell Extensionsモジュールがインストールされている以下のSitecore製品のバージョンで発生します。
この脆弱性は、上記のバージョンを実行しているすべてのSitecoreのシステムで発生します。これには、CMS-onlyおよびxDB有効化モード、シングルおよびマルチ インスタンス環境、およびすべてのSitecoreサーバーのロール(Content DeliveryおよびContent Editing, Reporting, Processingなど)も含まれます。また、Sitecoreベースのイントラネット サイトにも影響を与えます。
Sitecore CMS 7.0~7.2およびSitecore XP 7.5の場合、以下のリンクからSitecore PowerShell ExtensionsのRelease 4.7をダウンロードし、インストールします:
https://github.com/SitecorePowerShell/Console/releases/tag/4.7
Sitecore XP 8.0~8.2の場合、Sitecore PowerShell ExtensionsのRelease 5.0をダウンロードし、インストールします:
https://github.com/SitecorePowerShell/Console/releases/tag/5.0
この解決策は、Sitecore Experience Acceleratorのインストールの有無に関わらず、すべてのSitecoreソリューションに適用できます。
詳細情報については、以下の参考資料をご参照ください: