最新の更新情報

解説

本セキュリティ情報では、Security vulnerability CVE-2020-1045 affecting Microsot.OWINにてMicrosoftによって報告された、中程度の脆弱性（SC2021-002-486210）と、その解決策についてお知らせします。

本件は、Microsoft.Owin.dllのアセンブリ バージョン4.1.0およびそれ以前のバージョンで、セキュリティ機能がバイパスされる脆弱性が発見されたものです。詳細につきましては、上記の記事をご参照ください。

Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに回避策を適用していただくことを推奨いたします。 

最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。

重大度の定義

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。

バージョン

影響を受けるバージョン

脆弱性SC2021-002-486210は、以下のSitecore Experience Platformのバージョンに影響を与えます：

• Sitecore Experience Platform 9.1 Initial Release
• Sitecore Experience Platform 9.1 Update-1
• Sitecore Experience Platform 9.2 Initial Release
• Sitecore Experience Platform 9.3 Initial Release
• Sitecore Experience Platform 10.0 Initial Release
• Sitecore Experience Platform 10.0 Update-1
• Sitecore Experience Platform 10.0 Update-2
• Sitecore Experience Platform 10.1.x バージョン

影響を受けないバージョン

「影響を受けるバージョン」の節に記載されていないSitecore Experience Platformのバージョンについては、この脆弱性の影響を受けません。

解決策

影響を受けるSitecore Experience Platformのデプロイメントでこの脆弱性を解決するには、Microsoft.Owin.dllのバージョンを4.1.1にアップデートし、必要に応じてバインディング リダイレクトを適用する必要があります。

 

XP1トポロジーを使用している場合は、以下のテーブルを参考にXP1トポロジーのコンポーネントをアップデートします。

SCのバージョン	ロール/ジョブ	アセンブリのパス	設定のパス
10.0.0-   10.1.x	Job: MA Engine	wwroot\{instance}\App_data\   jobs\continuous\AutomationEngine\	{Location path}\   Sitecore.MAEngine.exe.config   or   {Location path}\maengine.exe.config
10.0.0-   10.1.x	Job: IndexWorker	wwwroot\{instance}\App_data\   jobs\continuous\IndexWorker\	{Location path}\  Sitecore.XConnectSearchIndexer.exe.config
10.0.0-   10.1.x	Job:   ProcessingEngine	wwwroot\{instance}\App_Data\   jobs\continuous\ProcessingEngine\	{Location path}\   Sitecore.ProcessingEngine.exe.config
9.0.0-   10.1.x	CM	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
9.0.0-   10.1.x	CD	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
9.0.0-   10.1.x	Processing	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
9.0.0-   10.1.x	Reporting	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config

 

XP0トポロジーを使用している場合は、以下のテーブルを参考にXP0トポロジーのコンポーネントをアップデートします。

SCのバージョン	ロール/ジョブ	アセンブリのパス	設定のパス
10.0.0-   10.1.x	Job: MA Engine	wwwroot\{collection instance}\App_Data\jobs\   continuous\AutomationEngine\	{Location path}\   Sitecore.MAEngine.exe.config   or   {Location path}\maengine.exe.config
10.0.0-   10.1.x	Job: IndexWorker	wwwroot\{collection instance}\App_Data\jobs\   continuous\IndexWorker\	{Location path}\   Sitecore.XConnectSearchIndexer.exe.config
10.0.0-   10.1.x	Job: ProcessingEngine	wwwroot\{collection instance}\App_Data\jobs\   continuous\ProcessingEngine	{Location path}\   Sitecore.ProcessingEngine.exe.config
9.0.0-   10.1.x	CM/CD	wwwroot\{instance}\bin\	wwwroot\{instance}\Web.config
10.0.0-   10.1.x	Collection Deployment	wwwroot\{collection instance}\App_Data\   collectiondeployment\	wwwroot\{collection instance}\Web.config

 

バインディング リダイレクト

新しいライブラリのバインディング リダイレクトを追加するか、既存のものを更新します。

<assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
  <dependentAssembly>
    <assemblyIdentity name="Microsoft.Owin" publicKeyToken="31bf3856ad364e35" culture="neutral" />
    <bindingRedirect oldVersion="0.0.0.0-4.1.1.0" newVersion="4.1.1.0" />
  </dependentAssembly>
</assemblyBinding>

更新情報（英語版）

• 2021年10月7日: スタイルを一部修正しました（未掲載だったものを公開）。