最新の更新情報

解説

本セキュリティ情報では、Sitecore 製品における重大な脆弱性（2017-001-170504）と、その解決策についてお知らせします。

Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreシステムに修正プログラムを適用していただくことを推奨いたします。

最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。

重大度の定義

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。

バージョン

影響を受けるバージョン

脆弱性2017-001-170504は、Sitecore Web Experience Managerの全てのサポートされているバージョンと、Sitecore® Experience Platform™ 6.5–8.2、およびSitecore xDB Cloud環境に影響します。8.2 Update-5以降のバージョンには影響がなく、hotfixも必要ありません。

この脆弱性は、上記のSitecoreバージョンが実装されているSitecoreのシステムに影響を与え、またCMS-onlyおよびxDB対応のモード、シングル インスタンスおよびマルチ インスタンス環境、マネージド クラウド環境および全てのSitecoreサーバーのロール（Content Delivery(CD)、Content Editing、Reporting、Processing、Publishingなど）を含むSitecoreバージョンに影響を与えます。また、Sitecoreベースのイントラネット サイトにも影響を与えます。

Sitecore CMS 6.5を除いて、全ての影響を受けるバージョン向けのHotfixがご利用いただけます。なお、Sitecore xDB Cloud環境には、すでに修正が適用されています。

技術的な制約上、Sitecore CMS 6.5向けの本件Hotfixをご提供することが困難であるため、Sitecore 6.5をご利用のお客様には、現在サポートされているより新しいバージョンにアップグレードしていただくことを強くお薦めいたします。

全てのSitecoreバージョン(6.5-8.2)における攻撃可能領域の縮小

Sitecoreは、ユーザー インターフェースの一部で、Telerikというサードパーティ製の製品に依存しています。デフォルトでは、これらのコントロールは全てのSitecore環境で有効化されています。アプリケーションが攻撃されるおそれのある領域を縮小するために、これらのコントロールが必要となるContent Management環境を除く全てのSitecoreサーバーから、以下の設定を削除していただくことを全てのお客様に強く推奨いたします。

以下の手順を実施してください。

1. 1. 貴社Sitecoreインスタンスのweb rootフォルダー配下のweb.configファイルを開きます。
   2. 以下の行をweb.configファイルから削除します。
      

      <add name="Telerik_Web_UI_DialogHandler_aspx" verb="*" preCondition="integratedMode" path="Telerik.Web.UI.DialogHandler.aspx" type="Telerik.Web.UI.DialogHandler" />

      <add name="Telerik_Web_UI_SpellCheckHandler_axd" verb="*" preCondition="integratedMode" path="Telerik.Web.UI.SpellCheckHandler.axd" type="Telerik.Web.UI.SpellCheckHandler" />

      <add name="Telerik_Web_UI_WebResource_axd" verb="*" preCondition="integratedMode" path="Telerik.Web.UI.WebResource.axd" type="Telerik.Web.UI.WebResource" />

   3. web.configファイルを保存して閉じます。

これらの環境で事象の影響が緩和されたかどうかを確認するには、貴社サイトの以下のURLにアクセスします。
http://<貴社サイトのホスト名>/Telerik.Web.UI.WebResource.axd

もしHTTPステータス コード200を受け取った場合、コントロールが依然として攻撃に対して暴露された状態にあるため、web.configファイルを開き、上述した行が削除されているか再確認します。

もしHTTPステータス コード404を受け取った場合、コントロールはもはや公開されていません。これが理想的な状態です。

解決策

• Sitecore CMS 6.5向け:
  

  技術的な制約上、このSitecore CMS向けの本件Hotfixをご提供することが困難であるため、お客様には本問題の修正が存在するSitecoreバージョンにアップグレードしていただくことを強くお薦めいたします。Sitecore 6.6が、Hotfixがご利用いただける最も古いバージョンです（※註：本記事英語版執筆時点。2022年時点で、Sitecore 6.6は全てのサポートを終了しています。したがって、より新しいバージョンにアップグレードしていただく必要があります）。

  アップグレードをしていただくことができない場合、インターネットに公開されている全てのSitecoreサーバーに対して、前述のセクションにてご案内した手順に従い、攻撃可能領域を縮小していただく必要があります。

  この場合、Content Managementシステムは依然としてリスクのある状態となります。ただし、Content Management環境がインターネットに対して公開されていない場合、リスクは軽減されます。

• Sitecore Versions 6.6–8.2向け:
  

  Sitecoreバージョン6.6-8.2における脆弱性の影響を緩和するには、以下のHotfixをContent Managementまたはスタンドアロン サーバーに適用します。8.2 Update-5以降のバージョンは影響を受けないため、Hotfixをインストールしていただく必要はありません。

  1. Hotfixが含まれているZipアーカイブをダウンロードします（貴社Sitecoreバージョン向けのhotfixのみダウンロードします）。
     
     • Sitecore version 6.6: Sitecore CMS 6.6 Security Hotfix 170504.zip
     • Sitecore versions 7.0–8.0: Sitecore CMS 7.0-8.0 Security Hotfix 170504.zip
     • Sitecore versions 8.1–8.2: Sitecore CMS 8.1-8.2 Security Hotfix 170504.zip
  2. Sitecoreのwebsiteフォルダー内の以下のファイルをバックアップします。
     
     • \bin\Telerik.Web.UI.dll
     • \bin\Telerik.Web.UI.Skins.dll
     • \bin\Telerik.Web.UI.xml
     • \sitecore\shell\Controls\Rich Text Editor\RTEfixes.js
  3. Zipアーカイブを解凍し、内容物をSitecoreのwebsiteフォルダーにコピーします。
  4. Sitecoreのwebsite rootフォルダーのweb.configファイルを開きます。
  5. <appSettings>ノードに、以下の行を追加します。
     

     <add key="Telerik.AsyncUpload.ConfigurationEncryptionKey" value="YOUR_ENCRYPTION_KEY_HERE" />
     <add key="Telerik.Upload.ConfigurationHashKey" value="YOUR_ENCRYPTION_KEY_HERE" />
     <add key="Telerik.Web.UI.DialogParametersEncryptionKey" value="YOUR_ENCRYPTION_KEY_HERE" />

  6. プレースホルダーのテキスト「YOUR_ENCRYPTION_KEY_HERE」を、Telerikコントロールの機能を保護するのに使用する任意の文字列に置き換えます。この文字列は、ランダムな文字と数字のセットで、256文字以内のものとします。最低でも、32文字以上の文字列を使用することをお薦めいたします。
  7. web.configファイルの<runtime>セクションの<assemblyBinding>ノード内に、以下の設定を追加します。追加する設定は、貴社のSitecoreバージョンによって異なります。
     
     • Sitecore 6.6

       <dependentAssembly>
             <assemblyIdentity name="Telerik.Web.UI" publicKeyToken="121fae78165ba3d4" />
             <bindingRedirect oldVersion="2012.2.607.35" newVersion="2014.1.403.35" /> 
       </dependentAssembly>

     • Sitecore 7.0–8.0

       <dependentAssembly>
             <assemblyIdentity name="Telerik.Web.UI" publicKeyToken="121fae78165ba3d4" />
             <bindingRedirect oldVersion="2012.2.607.35" newVersion="2014.1.403.45" /> 
       </dependentAssembly>

     • Sitecore 8.1–8.2

       <dependentAssembly>
             <assemblyIdentity name="Telerik.Web.UI" publicKeyToken="121fae78165ba3d4" />
             <bindingRedirect oldVersion="2015.1.401.45" newVersion="2017.2.621.45" />  
       </dependentAssembly>

  8. web.configファイルを保存して閉じます。
  9. ブラウザのキャッシュをクリアします。
  10. web.configファイルの<system.web>セクション配下に<machineKey>ノードがある場合は、新しいMachineKeyを生成します。MachineKeyは、IISマネージャー アプリケーションで生成できます。
      https://blogs.msdn.microsoft.com/amb/2012/07/31/easiest-way-to-generate-machinekey

参考文献

• www.telerik.com/support/kb/aspnet-ajax/details/cryptographic-weakness (CVE-2017-9248)
• www.github.com/straightblast/UnRadAsyncUpload/wiki
• www.telerik.com/support/kb/aspnet-ajax/upload-(async)/details/unrestricted-file-upload (CVE-2014-2217, CVE-2017-11317)
• www.telerik.com/support/kb/aspnet-ajax/upload-(async)/details/allows-javascriptserializer-deserialization (CVE-2019-18935)

更新履歴（英語版）

• 2017年7月18日： Sitecore XP 8.1-8.2向けHotfixが更新されました。更新されたアセンブリによって発生していた、いくつかの軽微な問題を修正するRTEfixes.jsが含まれています。これらの問題は、Rich Text Editorフィールドでのハイパーリンクの挿入、削除に関係するもので、Telerikのコントロールのセキュリティには影響を与えません。これらの問題を避けるために、新しいバージョンの8.1-8.2向けHotfixを適用していただくことをお薦めいたします。6.6-8.0向けのHotfixには変更はなく、再度適用していただく必要はありません。
  2018年3月21日: 「影響を受けるバージョン」に関する文言を更新しました。8.2 Update-5以降にリリースされたSitecore XPのバージョンでは、この問題は修正されています。
• 2019年4月8日: サーバー ロールに関する文言を更新しました。この修正は、Content Managementまたはスタンドアロン サーバーに適用します。
• 2019年6月6日: Hotfixパッケージへのリンクを更新しました。Hotfixそのものは変更されていないため、再インストールする必要はありません。
• 2019年9月11日: セキュリティ情報のRSSフィードを追加しました。
• 2019年9月30日: Hotfixへのリンクの誤字を訂正しました。
• 2019年11月28日: 「applies To」フィールドを更新しました。
• 2020年5月12日: Telerik UIセキュリティ脆弱性CVE-2014-2217、CVE-2017-11317、およびCVE-2019-18935へのリンクを参考文献に追加しました。この問題はTelerikの公開アセンブリ（2017.2.711以降）で修正されました。TelerikはSitecore CMS/XPと互換性のあるアセンブリ バージョン向けの修正を、カスタム アップデートとしてSitecoreに提供しました。これはつまり、Allows JavaScriptSerializer Deserializationの記事に記載されているより前のバージョンだが、現在のHotfix（並びにSitecore XP 8.2 Update-5以降）で使用されているバージョンについては、すでにこれらの問題に対する修正が施されているため、アップデートする必要はないことを意味します。
  2020年9月29日: いくつかのリンク切れを修正し、不足していたCVE IDを追加しました。
• 2021年6月30日: 「セキュリティ情報のRSSフィード」（KB1000489）へのリンク切れを修正し、スタイルに軽微な変更を加えました。
• 2021年8月3日: 軽微な変更を実施しました（Sitecoreバージョン6.6–8.2向けの解決策の7番目の項目の言い換え）。
• 2022年12月26日：軽微な変更を実施しました（Hotfixのリンク切れの修正）。