本セキュリティ情報では、Sitecore 製品における重大な脆弱性(2017-001-170504)と、その解決策についてお知らせします。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreシステムに修正プログラムを適用していただくことを推奨いたします。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
影響を受けるバージョン
脆弱性2017-001-170504は、Sitecore Web Experience Managerの全てのサポートされているバージョンと、Sitecore® Experience Platform™ 6.5–8.2、およびSitecore xDB Cloud環境に影響します。8.2 Update-5以降のバージョンには影響がなく、hotfixも必要ありません。
この脆弱性は、上記のSitecoreバージョンが実装されているSitecoreのシステムに影響を与え、またCMS-onlyおよびxDB対応のモード、シングル インスタンスおよびマルチ インスタンス環境、マネージド クラウド環境および全てのSitecoreサーバーのロール(Content Delivery(CD)、Content Editing、Reporting、Processing、Publishingなど)を含むSitecoreバージョンに影響を与えます。また、Sitecoreベースのイントラネット サイトにも影響を与えます。
Sitecore CMS 6.5を除いて、全ての影響を受けるバージョン向けのHotfixがご利用いただけます。なお、Sitecore xDB Cloud環境には、すでに修正が適用されています。
技術的な制約上、Sitecore CMS 6.5向けの本件Hotfixをご提供することが困難であるため、Sitecore 6.5をご利用のお客様には、現在サポートされているより新しいバージョンにアップグレードしていただくことを強くお薦めいたします。
Sitecoreは、ユーザー インターフェースの一部で、Telerikというサードパーティ製の製品に依存しています。デフォルトでは、これらのコントロールは全てのSitecore環境で有効化されています。アプリケーションが攻撃されるおそれのある領域を縮小するために、これらのコントロールが必要となるContent Management環境を除く全てのSitecoreサーバーから、以下の設定を削除していただくことを全てのお客様に強く推奨いたします。
以下の手順を実施してください。
<add name="Telerik_Web_UI_DialogHandler_aspx" verb="*" preCondition="integratedMode" path="Telerik.Web.UI.DialogHandler.aspx" type="Telerik.Web.UI.DialogHandler" />
<add name="Telerik_Web_UI_SpellCheckHandler_axd" verb="*" preCondition="integratedMode" path="Telerik.Web.UI.SpellCheckHandler.axd" type="Telerik.Web.UI.SpellCheckHandler" />
<add name="Telerik_Web_UI_WebResource_axd" verb="*" preCondition="integratedMode" path="Telerik.Web.UI.WebResource.axd" type="Telerik.Web.UI.WebResource" />
これらの環境で事象の影響が緩和されたかどうかを確認するには、貴社サイトの以下のURLにアクセスします。
http://<貴社サイトのホスト名>/Telerik.Web.UI.WebResource.axd
もしHTTPステータス コード200を受け取った場合、コントロールが依然として攻撃に対して暴露された状態にあるため、web.configファイルを開き、上述した行が削除されているか再確認します。
もしHTTPステータス コード404を受け取った場合、コントロールはもはや公開されていません。これが理想的な状態です。
技術的な制約上、このSitecore CMS向けの本件Hotfixをご提供することが困難であるため、お客様には本問題の修正が存在するSitecoreバージョンにアップグレードしていただくことを強くお薦めいたします。Sitecore 6.6が、Hotfixがご利用いただける最も古いバージョンです(※註:本記事英語版執筆時点。2022年時点で、Sitecore 6.6は全てのサポートを終了しています。したがって、より新しいバージョンにアップグレードしていただく必要があります)。
アップグレードをしていただくことができない場合、インターネットに公開されている全てのSitecoreサーバーに対して、前述のセクションにてご案内した手順に従い、攻撃可能領域を縮小していただく必要があります。
この場合、Content Managementシステムは依然としてリスクのある状態となります。ただし、Content Management環境がインターネットに対して公開されていない場合、リスクは軽減されます。Sitecoreバージョン6.6-8.2における脆弱性の影響を緩和するには、以下のHotfixをContent Managementまたはスタンドアロン サーバーに適用します。8.2 Update-5以降のバージョンは影響を受けないため、Hotfixをインストールしていただく必要はありません。
<add key="Telerik.AsyncUpload.ConfigurationEncryptionKey" value="YOUR_ENCRYPTION_KEY_HERE" /> <add key="Telerik.Upload.ConfigurationHashKey" value="YOUR_ENCRYPTION_KEY_HERE" /> <add key="Telerik.Web.UI.DialogParametersEncryptionKey" value="YOUR_ENCRYPTION_KEY_HERE" />
<dependentAssembly> <assemblyIdentity name="Telerik.Web.UI" publicKeyToken="121fae78165ba3d4" /> <bindingRedirect oldVersion="2012.2.607.35" newVersion="2014.1.403.35" /> </dependentAssembly>
<dependentAssembly> <assemblyIdentity name="Telerik.Web.UI" publicKeyToken="121fae78165ba3d4" /> <bindingRedirect oldVersion="2012.2.607.35" newVersion="2014.1.403.45" /> </dependentAssembly>
<dependentAssembly> <assemblyIdentity name="Telerik.Web.UI" publicKeyToken="121fae78165ba3d4" /> <bindingRedirect oldVersion="2015.1.401.45" newVersion="2017.2.621.45" /> </dependentAssembly>