最新の更新情報

解説

本セキュリティ情報では、Sitecore製品における重要な脆弱性（SC2023-001-568150）と、その解決策についてお知らせします。 

本件は、MVCデバイス シミュレータの脆弱性に関連して、IISの認証ルールをバイパスされるおそれのある問題です。

Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに、以下の解決策を適用していただくことを推奨いたします。 また、お客様の環境をセキュリティに対応したバージョンに維持し、遅滞なくセキュリティの修正を適用していただくことを推奨いたします。

この脆弱性は、以下のSitecore 製品に影響を与えます。

Sitecore製品	影響
Experience Manager (XM)	影響あり*
Experience Platform (XP)
Experience Commerce (XС)
Managed Cloud	影響あり**
XM Cloud	影響なし
Content Hub	影響なし
CDP and Sitecore Personalize （旧称Boxever）	影響なし
OrderCloud （旧称Four51 OrderCloud）	影響なし
Storefront （旧称Four51 Storefront）	影響なし
Moosend	影響なし
Send	影響なし
Discover （旧称Reflektion）	影響なし
Commerce Server	影響なし

* この脆弱性は、9.0 Initial Releaseから10.3 Initial Releaseの全てのExperience Platformトポロジー（XM、XP、XC）に影響します。8.2 Update-7およびそれ以前のバージョンにつきましては、弊社製品サポート ライフサイクル ポリシーに基づきテストを実施しておりません。
** 影響を受けるExperience Platformバージョンを実行されているManaged Cloudのお客様が対象となります。

このセキュリティ情報は、今後さらなる詳細が判明した場合、更新される場合があります。すべての更新情報の詳細な一覧は、更新履歴節に記載されています。

最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。

お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。

解決策

※註： 本件セキュリティ情報の後継として、セキュリティ情報SC2023-003-587441がリリースされています。セキュリティ情報SC2023-003-587441に記載されている恒久的な解決策をすでに適用している場合は、本セキュリティ情報の解決策を適用する必要はありません。

この脆弱性の影響を緩和するには、 影響を受けるSitecoreシステムに、貴社のデプロイに応じて、以下の修正を適用していただくことをお勧めいたします。なお、この修正は568150と576660の問題の両方をカバーしていることに注意してください。Readmeファイルが同梱されている場合は、そのインストール手順の指示に従ってください。

• オンプレミスおよびPaaS向け:
  
  • 9.0 Initial Release： SC Hotfix 576689-1 for 9.0.0.zip
  • 9.0 Update-1： SC Hotfix 576689-1 for 9.0.1.zip
  • 9.0 Update-2： SC Hotfix 576689-1 for 9.0.2.zip
  • 9.1 Initial Release: KB1001412に記載されている対応する累積hotfixをダウンロードしてインストールします。
  • 9.1 Update-1: KB1001414に記載されている対応する累積hotfixをダウンロードしてインストールします。
  • 9.2 Initial Release: KB1001444に記載されている対応する累積hotfixをダウンロードしてインストールします。
  • 9.3 Initial Release: KB1001415に記載されている対応する累積hotfixをダウンロードしてインストールします。
  • 10.0 Initial Release: KB1001419に記載されている対応する累積hotfixをダウンロードしてインストールします。
  • 10.0 Update-1: KB1001420に記載されている対応する累積hotfixをダウンロードしてインストールします。
  • 10.0 Update-2: KB1001553に記載されている対応する累積hotfixをダウンロードしてインストールします。
  • 10.0 Update-3: KB1001551に記載されている対応する累積hotfixをダウンロードしてインストールします。
  • 10.1の場合、KB1001554にある対応する累積的なhotfixをダウンロードしてインストールします（「いずれかのSitecore XPアップデート上にインストール」を推奨）。
  • 10.2の場合、KB1001564にある対応する累積的なhotfixをダウンロードしてインストールします（「いずれかのSitecore XPアップデート上にインストール」を推奨）。
  • 10.3の場合、KB1002894にある対応する累積的なhotfixをダウンロードしてインストールします（「いずれかのSitecore XPアップデート上にインストール」を推奨）。
    
    
• コンテナー向け:
  • コンテナ化された環境で実行されている10.1、10.2、および10.3の場合、リンクされた累積的なhotfixの記事のガイダンスに従って、累積的なhotfixを適用する必要があります。
  • コンテナ化された環境で実行されている10.0の場合、 次のコンテナ固有のhotfixパッケージをダウンロードしてインストールします：
    • 10.0 Initial Releaseの場合：SC Hotfix 576689-1 container for 10.0.0.zip
    • 10.0 Update-1の場合：SC Hotfix 576689-1 container for 10.0.1.zip
    • 10.0 Update-2の場合：SC Hotfix 576689-1 container for 10.0.2.zip
    • 10.0 Update-3の場合：SC Hotfix 576689-1 container for 10.0.3.zip
      
      

代替策として、影響を受けるSitecoreシステムに、デプロイに応じて以下のソリューションを適用することもできます。この解決策は568150の問題のみをカバーし、576660の問題はカバーしないことに注意してください。

• オンプレミスおよびPaaS向け:
  
  1. 以下のファイルをリネームして、無効化します。
     変更前：
     

     \wwwroot\App_Config\Sitecore\MVC.DeviceSimulator\Sitecore.MVC.DeviceSimulator.config

     変更後：

     Sitecore.MVC.DeviceSimulator.config.disabled

  2. バックアップを取って、以下のファイルを削除します。
     

     wwwroot\[インスタンス]\bin\Sitecore.Mvc.DeviceSimulator.dll

• コンテナー向け:
  以下のDockerfileインストラクションを追加することで、影響を受けるSitecoreサーバー ロール向けのランタイム イメージを更新します。
  

  RUN rm "C:\inetpub\wwwroot\App_Config\Sitecore\MVC.DeviceSimulator\Sitecore.MVC.DeviceSimulator.config"
  RUN rm "C:\inetpub\wwwroot\bin\Sitecore.Mvc.DeviceSimulator.dll"

註：設定ファイルを無効化し、アセンブリを削除しても、MVCデバイス シミュレータの機能には影響はありません。
上記のファイルは過去のバージョンで使用されていたものであり、現行のMVCデバイス シミュレータではもはや使用されていません。

よくある質問

Q. この問題はすべてのSitecore XP Coreサーバー ロール（Content Delivery、Content Management、Reporting、Processing、EXM Dispatch）に影響を与えますか？ 
A.はい、この事象はすべてのSitecore XP Coreサーバー ロールに影響を与えます。 上記の解決策をそれぞれのロールに適用してください。

Q. Hotfixを適用するとき、Sitecore.MVC.DeviceSimulator.configを無効にしてSitecore.Mvc.DeviceSimulator.dllファイルを削除する必要がありますか？
A. この変更内容はhotfixパッケージからインストールされるため、これは必要ありません。

Q. この脆弱性に関する詳細情報を提供することは可能ですか？ 
A. いいえ、セキュリティ上の理由から詳細情報を提供することはできません。これを行うと、悪用シナリオの発覚につながり、幅広いお客様に深刻な影響を与える可能性があるためです。 

更新履歴（英語版原本）

• 2023年3月28日：本記事を作成しました。
• 2023年3月29日：ソリューション節を更新し、web.configファイルで、</system.webServer> 配下に以下の行を追加する解決策を削除しました。この解決策は使用しないで下さい。
  <location path="api/sitecore/Sitecore.Mvc.DeviceSimulator.Controllers.SimulatorController,Sitecore.Mvc.DeviceSimulator.dll/Preview">
  <system.web>
  <authorization>
  <deny users="?" />
  </authorization>
  </system.web>
  </location>  
• 2023年3月30日：解決策の影響について、「解決策」節の末尾に追記しました。
• 2023年3月31日：コンテナー化環境向けの解決策を追加しました。解決策節のスタイルおよびテーブル、脚注に小規模の変更を行いました。よくある質問節の「Content Editing」を「Content Management」に修正しました。
• 2023年4月4日：doc.sitecore.comのSitecore XP Coreサーバー ロールの記事へのリンクを追加しました。
• 2023年4月20日：解決策セクションに修正を追加しました。代替策とhotfixの互換性に関する質問を追加しました。スタイリングに軽微な変更を加えました。
• 2023年5月2日: よくある質問セクションに、脆弱性の更なる詳細情報を記事に追加できるかについてのご質問と回答を記載しました。
• 2023年6月20日: スタイリングの軽微な変更を加えました。本件の次のセキュリティ情報SC2023-003-587441からの解決策を適用した場合についての情報を追記しました。
• 2023年11月3日： 解決策セクションのオンプレミスおよびPaaS向けおよびコンテナー向けhotfixのリンク切れを修正しました。