解説

Sitecoreは、ファイル名が既に知られている場合に、サイト訪問者が特別な方法で作成されたURLにアクセスすることで、サイトのwebルート配下にあるそれらのファイルをダウンロードできる場合があるという問題を発見いたしました。影響を受けるファイルには、.config、.aspxまたは.csファイルは含まれません。なお、この問題を利用して、ディレクトリのブラウジングをすることはできません。

パブリック リリースにおける修正プログラムの有無について

この問題は、以下のバージョンで修正されています。

• Sitecore XP 8.0 Initial Release (rev. 141212)
• Sitecore CMS 7.5 Update-1 (rev. 150130)
• Sitecore CMS 7.2 Update-3 (rev. 141226)

貴社のSitecoreバージョンを確認する方法について

1. \{Websiteフォルダー}\sitecore\shellフォルダーのsitecore.version.xmlファイルを探します。
2. メモ帳やInternet Explorerなどのブラウザで、ファイルを開きます。
3. <major>、<minor>、<revision>フィールドの値を組み合わせたものが、貴社のSitecoreのバージョンです。

解決策

上記以外のバージョンで、修正プログラム#424428をインストールする場合の手順は次のとおりです。

1. Sitecore.Support.424428ファイルをダウンロードし、\binフォルダーにコピーします。ご利用の.NETバージョンに応じて、以下の中から適切なバージョンをダウンロードしてください。
   
   • Sitecore.Support.424428.dll for .NET2
   • Sitecore.Support.424428.dll for .NET4
     
     
2. web.configファイルで、以下の行を次のように変更します。
   変更前：
   

   <processor type="Sitecore.Pipelines.PreprocessRequest.IIS404Handler, Sitecore.Kernel" />

   変更後：

   <processor type="Sitecore.Support.Pipelines.PreprocessRequest.IIS404Handler, Sitecore.Support.424428" />

3. <preprocessRequest help="Processors should derive from Sitecore.Pipelines.PreprocessRequest.PreprocessRequestProcessor"> セクションで、以下の行を次のように変更します。
   変更前：

   <param desc="Blocked extensions that do not stream files (comma separated)"></param>

   変更後（"dll"拡張子を追加します）：
   

   <param desc="Blocked extensions that do not stream files (comma separated)">dll</param>