本セキュリティ情報では、Sitecoreソフトウェアにおける重要な脆弱性(SC2023-002-576660)と、その解決策についてお知らせします。
本件は、リモート コード実行の脆弱性に関連しています。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに、以下の解決策を適用していただくことを推奨いたします。 また、お客様の環境をセキュリティに対応したバージョンに維持し、遅滞なくセキュリティの修正を適用していただくことを推奨いたします。
この脆弱性は、以下のSitecore製品に影響を与えます。
* この脆弱性は、9.0 Initial Releaseから10.3 Initial Releaseの全てのExperience Platformトポロジー(XM、XP、XC)に影響します。
8.2にも影響します。
** 影響を受けるExperience Platformバージョンを実行されているManaged Cloudのお客様が対象となります。
このセキュリティ情報は、今後さらなる詳細が判明した場合、更新される場合があります。すべての更新情報の詳細な一覧は、更新履歴節に記載されています。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
※註: 本件セキュリティ情報の後継として、セキュリティ情報SC2023-003-587441がリリースされています。セキュリティ情報SC2023-003-587441に記載されている恒久的な解決策をすでに適用している場合は、本セキュリティ情報の解決策を適用する必要はありません。
この脆弱性の影響を緩和するには、 影響を受けるSitecoreシステムに、貴社のデプロイに応じて、以下の解決策を適用していただくことをお勧めいたします。この修正プログラムは568150および576660双方の問題をカバーしている点にご注意下さい。インストール時は、アーカイブ内のReadmeファイルのインストールの指示に従ってください(記載がある場合)。
この問題を完全に解決するには、上記のhotfixをご利用ください。また、次のパッチを適用してこの問題を部分的に解決することも可能です。 このパッチは、既知の攻撃ベクトルのみを修正します。このパッチは、影響を受けるすべての製品バージョンで使用できます。
重要な注意事項:攻撃事例がある場合にログに記録します。パッチがリクエストをブロックした場合、Sitecoreログに以下のようなメッセージが記録されます。
{line} hh:mm:ss WARN Sitecore.Support.576660: Request processing stopped due to forbidden input. URL: {attack vector URL}
攻撃ログを無効化するには、Sitecore.Support.576660.configパッチ ファイル内で<disableLog>に「true」に変更します。
<disableLog>true</disableLog>
Sitecoreでは、このパッチをインストールするのではなく、hotfixを適用して脆弱性の影響を回避していただくことを強くお勧めいたします。
Hotfixが正常に適用されたことを確認するには、Webサイトの\binフォルダーにあるファイルの SHA256ハッシュと、適用されたhotfixの\binフォルダーにあるファイルのハッシュ値を比較してください。ハッシュ値は、手動で比較するか、WinMergeなどのソフトウェア ツールを使用して比較できます。
アセンブリのSHA256ハッシュは、Windows PowerShellコマンドGet-FileHashを使用して生成できます。たとえば、以下のスクリプト サンプルを使用できます。次のスクリプト サンプルは一例であり、必要に応じて変更しなければならない場合があることに注意してください。
Get-FileHash -Path "path to bin folder\*.dll" -Algorithm SHA256 | Select-Object @{Name='Name';Expression={[System.IO.Path]::GetFileName($_.Path)}}, Hash
Q.この問題はすべてのSitecore XP Coreサーバー ロール(Content Delivery、Content Management、Reporting、Processing、EXM Dispatch)に影響を与えますか?
A.はい、この事象はすべてのSitecore XP Coreサーバー ロールに影響を与えます。 上記の解決策をそれぞれのロールに適用してください。
Q.近いうちにAzure Marketplaceを使用してインスタンス (10.3 など) をインストールする場合、上記のhotfixは含まれますか?それとも手動で適用する必要がありますか? HotfixはAzure Marketplaceで自動的に公開されますか?
A.いいえ、hotfixは自動的にはAzure Marketplaceに公開されません。Azure Marketplaceは、dev.sitecore.netでリリースされたものと同じバージョンをサポートしています。リリースされたバージョンで問題が修正されていない場合、上記の解決策をインスタンスに適用してください。
Q.この問題のみに対応するhotfixをインストールすることはできますか?
A.この問題のみに対応するhotfixはありません。すべての修正は、常に1つの累積hotfixにマージされます。最新の累積hotfixを適用することにより、以前にインストールされた修正が誤って失われることがなくなります。累積hotfixに含まれている修正を確認するには、パッケージ内のリリース ノートを参照してください。たとえば、10.3の場合は、「Sitecore 10.3.x rev. xxxxxx PRE/Documentation/Sitecore.Platform.Releasenotes 10.3.x rev. xxxxxx PRE.md」ファイルを参照してください。
Q.Hotfixがマルウェアに感染していると表示された場合、どうすればよいですか?
A.これは、MicrosoftのSharePointにおける、誤検知に関する既知の問題です。この問題を解決するには、Sitecoreサポートに連絡してください。
Q.バージョン8.2の場合、どのように問題を解決すればよいですか?
A.8.2.7以前のバージョンでは、解決策セクションに記載されているSitecore.Support.576660パッチを適用できます。ただし、8.2.7以前のバージョンは既に維持(Sustaining)サポートフェーズに入っており、Sitecoreではそれらのバージョン向けのHofixを提供しないことを考慮して、より新しいバージョンにアップグレードし、対応するhotfixを適用していただくことをお勧めします。
Q.この脆弱性に関する詳細情報を提供することは可能ですか?
A.いいえ、本件では特に、悪用シナリオの発覚につながり、お客様に深刻な影響を与える可能性があるため、セキュリティ上の理由から詳細情報を提供することはできません。
Q.CDインスタンスのweb.configおよびsitecore.configからsitecore_xaml.ashxハンドラーを削除すると、セキュリティの問題が緩和されますか?
A.いいえ、これらの手順は脆弱性を緩和するには不十分です。解決策セクションの累積hotfixもインストールする必要があります。
Q.この脆弱性はManaged Cloudのサブスクリプションに影響しますか?
A.この脆弱性は、Managed Cloud StandardおよびManaged Cloud Premiumサブスクリプション双方に影響します。上記の解決策を適用して、脆弱性の影響を緩和してください。