解説
本セキュリティ情報では、Sitecoreソフトウェアにおける重要な脆弱性(SC2024-002-624693)と、その解決策についてお知らせいたします。
この問題は、セキュアでないデシリアライズを利用したリモート コード実行に関連しています。
Sitecoreのお客様およびパートナー企業の皆様に、以下の情報をご確認の上、影響を受けるすべてのSitecoreのインスタンスに、以下の解決策を適用していただくことを推奨いたします。 また、お客様の環境をセキュリティがサポートされたバージョンに維持し、遅滞なくセキュリティの修正を適用していただくことを推奨いたします。
この脆弱性は、以下のSitecore製品に影響を与えます。
| Sitecore製品 | 影響 |
| Experience Manager (XM) | 影響あり* |
| Experience Platform (XP) | |
| Managed Cloud | 影響あり** |
| XM Cloud | 影響なし |
| Content Hub | 影響なし |
| CDP and Personalize (旧称Boxever) | 影響なし |
| OrderCloud (旧称Four51 OrderCloud) | 影響なし |
| Storefront (旧称Four51 Storefront) | 影響なし |
| Moosend | 影響なし |
| Send | 影響なし |
| Discover (旧称Reflektion) | 影響なし |
| Search | 影響なし |
| Commerce Server | 影響なし |
* この脆弱性は、10.4 Initial Release以降の全てのExperience Platformトポロジー(XM、XP)に影響します。
** 影響を受けるExperience Platformバージョンを実行されているManaged Cloudのお客様が対象となります。Content Management(CM)およびスタンドアローンのManaged Cloudインスタンスのみが影響を受けます。
このセキュリティ情報は、今後さらなる詳細が判明した場合、更新される場合があります。すべての更新情報の詳細な一覧につきましては、更新履歴節をご参照下さい。
最新のセキュリティ情報に関する通知をご希望される場合は、セキュリティ情報を購読してください。
重大度の定義
お客様およびパートナー企業様に、潜在的なセキュリティ脆弱性の重大度の理解を深めていただくため、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題をご案内いたします。
推奨される解決策
この脆弱性の影響を緩和するため、影響を受けるSitecoreシステムに、貴社デプロイに応じて以下の修正プログラムを適用していただくことをお勧めいたします。修正プログラムのアーカイブ内にReadmeファイルがある場合は、ファイルに記載されているインストールの指示に従ってください。
- オンプレミスおよびPaaS環境向け:
- 10.4: KB1003464に記載されている、対応する累積hotfixをダウンロードしてインストールします(「いずれかのSitecore XPアップデート上にインストール」セクションの手順を推奨)。
- 10.4: KB1003464に記載されている、対応する累積hotfixをダウンロードしてインストールします(「いずれかのSitecore XPアップデート上にインストール」セクションの手順を推奨)。
- コンテナー環境向け:
- コンテナー化環境で実行されている10.4については、上記のhotfix記事からリンクされているコンテナー環境用のガイダンスに従って累積hotfixを適用します。詳細につきましては、Docker を使用した Sitecore XP プレリリースのデプロイの記事をご参照ください。
- コンテナー化環境で実行されている10.4については、上記のhotfix記事からリンクされているコンテナー環境用のガイダンスに従って累積hotfixを適用します。詳細につきましては、Docker を使用した Sitecore XP プレリリースのデプロイの記事をご参照ください。
オプションの解決策
Sitecoreではご都合が付き次第、推奨される解決策セクションに記載されている適切な修正プログラムをインストールしていただくことを強く推奨いたします。ただし、修正プログラムをただちに適用することが不可能な場合、以下の一時的な解決策を影響を受けるSitecoreシステムに適用していただくことも可能です。以下のパッチをCMおよびスタンドアローン サーバーに適用してください。
- Sitecore.Support.624693.configファイルをダウンロードします。
- Sitecore.Support.624693.configファイルを\App_Config\Include\zzzフォルダーに配置します。
註: このパッチを適用すると、Sitecoreのスクリーンショットのサムネイル機能が無効化されます。プレリリース(累積Hotfix)を適用していただくことを強く推奨いたします。
検証
ソリューションに本脆弱性の修正プログラムがインストールされているかどうかを検証するには、Sitecore.Kernelアセンブリのバージョンが19.4.93.21984と同じか、それ以上であることをご確認ください。
よくある質問
Q. この問題はすべてのSitecore XP Coreサーバー ロール(Content Delivery、Content Management、Reporting、Processing、EXM Dispatch)に影響を与えますか?
A. この問題はContent Management(CM)およびスタンドアローンのロールにのみ影響を与えます。上記の解決策を対象のロールに適用してください。
Q. この脆弱性に関する更なる詳細情報を開示することは可能ですか?
A. いいえ、大変申し訳ございませんが、セキュリティ上の理由により詳細情報を開示することはできません。具体的には、悪用シナリオの流出につながり、様々なお客様により深刻な影響を与えるおそれがあるためです。
Q. この脆弱性はManaged Cloudのサブスクリプションに影響しますか?
A. この脆弱性は、Managed Cloud StandardおよびManaged Cloud Premiumサブスクリプション双方に影響します。上記の解決策を適用して、脆弱性の影響を緩和してください。
Q. Sitecoreバージョンを確認するにはどうすればよいですか?
ご利用のSitecoreバージョンとインストールされたコンポーネントを確認するには、KB1001724に記載されている指示に従ってください。
更新履歴(英語版原本)
- 2024年12月04日: 本記事を作成しました。
- 2024年12月10日: 検証の節を追加しました。XCは10.3で提供が終了されているため、影響を受ける製品よりXCを除外しました。
- 2025年01月06日: 記事を検索可能な状態としました。