Sitecoreは、Sitecore CMS、Sitecore Intranet PortalおよびSitecore Foundryの各バージョンに影響を与えるセキュリティ問題を確認しました(以下の表を参照)。
Sitecore社は、本件セキュリティ脆弱性の発見に貢献・ご協力いただいたDan Erdahl氏に謝意を表します。 なお、本件に対処する修正プログラムは、新しい機能の追加やシステムの挙動の変更は行いません。
修正プログラムをインストールした後、設定ファイルおよびweb root配下のその他のファイルに保存されているシステムのパスワードを変更することをお薦めします。
Sitecore 7.2.0 Update-2(rev.140526)以前のSitecoreリリースを実行されている場合で、貴社のCMSバージョンが下記のバージョンに該当する場合、2014年第1四半期のセキュリティ アップデートをインストールする必要があります(関連記事に記載されているバージョン一覧を参照)。
| 7.2 rev.140314 (Update-1) |
| 7.2 rev.140228 (Initial Release) |
| 7.1 rev.140324 (Update-2) |
| 7.1 rev.140130 (Update-1) |
| 7.1 rev.130926 (Initial Release) |
| 7.0 rev.140408 (Update-5) |
| 7.0 rev.140120 (Update-4) |
| 7.0 rev.131127 (Update-3) |
| 7.0 rev.130918 (Update-2) |
| 7.0 rev.130810 (Update-1) |
| 7.0 rev.130424 (Initial Release) |
| 6.6.0 rev.140410 (Update-8) |
| 6.6.0 rev.131211 (Update-7) |
| 6.6.0 rev.130529 (Service Pack-1) |
| 6.6.0 rev.130404 (Update-5) |
| 6.6.0 rev.130214 (Update-4) |
| 6.6.0 rev.130111 (Update-3) |
| 6.6.0 rev.121203 (Update-2) |
| 6.6.0 rev.121015 (Update-1) |
| 6.6.0 rev.120918 (Initial Release) |
| 6.6.0 rev.120622 (Technical Preview) |
| 6.5.0 rev.121009 (Service Pack-2) |
| 6.5.0 rev.120706 (Service Pack-1) |
| 6.5.0 rev.120427 (Update-4) |
| 6.5.0 rev.111230 (Update-3) |
| 6.5.0 rev.111123 (Update-2) |
| 6.5.0 rev.110818 (Update-1) |
| 6.5.0 rev.110602 (Initial Release) |
| 6.4.1 rev.120113 (Update-6) |
| 6.4.1 rev.111003 (Update-5) |
| 6.4.1 rev.110928 (Update-4) |
| 6.4.1 rev.110720 (Update-3) |
| 6.4.1 rev.110621 (Update-2) |
| 6.4.1 rev.110324 (Update-1) |
| 6.4.1 rev.101221 (Initial Release) |
| 6.4.0 rev.101124 (Update-1) |
| 6.4.0 rev.101012 (Initial Release) |
| 4.1.0 rev. 131010 (Initial Release) |
| 4.0.0 rev. 130523 (Initial Release) |
| 4.1.0 rev. 130621 (Initial Release |
| 4.0.0 rev. 121129 (Initial Release) |
| 4.0.0 rev. 120711 (Technical Preview) |
修正プログラムは、スクリプトまたは手動でインストールすることができます。
2014年第1四半期のセキュリティ アップデートをすでにインストールされている場合、変更を適用する必要はありません。下記の「解決策:手動でのインストール」セクションで説明されている変更が、貴社Sitecoreソリューションに適用されているかを確認してください。
註: /sitecoreフォルダーが削除されているか、ファイル システムのセキュリティ制限により、スクリプトを実行するアカウントがそのフォルダーにアクセスできないSitecoreインストール環境では、スクリプトでのインストールが失敗します。
PowerShellスクリプトでの実行が失敗した場合は、各Sitecoreインストールに対して手動でのインストールを行ってください。
PowerShellスクリプトの実行に熟知されているお客様およびパートナー様には、スクリプトでのインストールをお薦めいたします。スクリプトを実行しても、結果は手動でのインストールと変わりありません。
PowerShellスクリプトの実行に不安がある場合、またはサーバー環境での実行が許可されていない場合は、次のセクションに記載されている手動でのインストールをお薦めいたします。
修正プログラムをインストールするには、Sitecore.FixIt.409770.zipをダウンロードし解凍してください。必要なインストール手順については、解凍したアーカイブのREADME.FIRST.txtの指示に従ってください。
このスクリプトは、Sitecoreがインストールされているすべてのサーバーで実行してください。または、スクリプトを下位環境(開発・テスト・準本番環境等)にて実行し、貴社のリリースの方法に合わせて、本番環境に変更をリリースさせることもできます。
このスクリプトは、事前検証、インストール、および事後検証のステップを提供します。事前検証の段階では、どの修正が適用されているかを確認し、変更されるファイルが適切なロケーションに配置されたかどうかを検証します。
インストールの段階ではSitecoreのweb rootフォルダーの複数のファイルに変更が実施されますが、変更を実施する前に自動的にファイルのバックアップを作成します。事後検証の段階では、変更が予期された通りに実施されたかを検証します。
註: .zipアーカイブをダウンロードする際に、Windowsがコンピュータを保護するために、アーカイブをブロックすることがあります。アーカイブのブロックを解除するには、ファイルを右クリックし、プロパティを選択して、全般タブの「ブロック解除」ボタンをクリックしてください。
註: スクリプトでのインストールに使用されている下層.NET Framework APIのため、XMLベースの設定ファイルの間隔に若干の変更が追加される場合があります。
2014年第1四半期のセキュリティ アップデートをすでにインストールした場合、変更を適用する必要はありません。下記の変更がSitecoreソリューションに適用されているかを確認してください。
Sitecoreは、PowerShellスクリプトの実行に不慣れなお客様、または権限不足によりスクリプトでのインストールを実施できないお客様向けに、手動でのインストールの方法もご案内しております。
これらの方法は、環境の特定の設定のためにスクリプトでのインストールが成功しない場合や、事前検証の段階で予期しない設定が報告された場合にも必要となる場合があります。
修正プログラム#400290のインストール手順
「/configuration/system.webServer/handlers」セクションのSitecoreアイコン ハンドラー ノードを、次の値に設定する必要があります:
<add verb="*" path="sitecore_icon.ashx" type="Sitecore.Support.Resources.IconRequestHandler, Sitecore.Support.400290" name="Sitecore.Support.400290.IconRequestHandler"/>
「/configuration/system.web/httpHandlers」セクションのSitecoreアイコン ハンドラー ノードを、次の値に設定する必要があります:
<add verb="*" path="sitecore_icon.ashx" type="Sitecore.Support.Resources.IconRequestHandler, Sitecore.Support.400290"/>