最新のセキュリティアップデートを適用した際の、過去の修正の影響に関する参考情報

ColdFusion 9.0.x、10用に提供される最新のセキュリティアップデートには過去の修正も含まれています。
(※例外として2013年7月10日に公開されたCF9用セキュリティアップデート(APSB13-19)は、内部エンジンのJRunに対する修正プログラムのため過去の修正は含まれない単体のパッチプログラムとなります)

そのため、今までセキュリティアップデートを当てていない環境や、しばらくセキュリティパッチを当てていなかった環境に最新のセキュリティアップデートを当てた場合は、今回の修正だけでなく過去の修正も影響して、それまでと動きが違ったりエラーが発生する場合があります。

個々のセキュリティパッチの詳細ページでは過去の修正に関する情報は掲載されていません。そのため、テックノートとして、過去のセキュリティパッチの修正の影響に関する一覧を公開しています。

ColdFusion Help / Important hot fix-related notes
http://helpx.adobe.com/coldfusion/kb/important-hotfix-related-notes.html

 

上記英文ページの内容に関する参考情報

注意)以下の内容は、上記の『ColdFusion Help / Important hot fix-related notes』のページを部分的に日本語で紹介しているものです。本ページの内容の正確さや最新さを保証するものではありません。本ページの内容と上記の英文ページとの間に齟齬や矛盾があった場合には、オリジナルの英文ページを優先いたします。

※本参考情報は5月20日時点の情報となります。その後、オリジナルの英文ページで項目の追加や修正が行われ、こちらの情報が古い可能性があります。

 

APSB13-03について

 

APSB12-26について

 

APSB12-25について

  • この問題はColdFusion10でIISとColdFusionとの組み合わせで確認されています。この組み合わせで利用されている方は、ColdFusion 10 Update 5 以降をインストールした後に、コネクタの再登録を行って下さい。また、インターネット経由で外部からの jakarta 仮想ディレクトリへのアクセスされた場合に対応するため、設定ファイル等を見られないよう、webサーバーのMIMEタイプの設定を確認下さい。以下のファイル名の拡張子のMIMEタイプのエントリが存在しないことを確認します。
    • Properties
    • Log

 

APSB12-21について

  • メーカーでは、このセキュリティアップデートが適用された後に、サンドボックスセキュリティ内での無効な関数のリストにgetPageContextを追加することを推奨しています。しかしながら、これはDoS攻撃に対する保護のための要件ではありません。

 

APSB12-06について

  • このセキュリティアップデートによって、ColdFusionにpost パラメータの制限に関する新しい設定が追加されます。フォームなどからのPOSTリクエスト時のパラメータ数をデフォルトで100に制限します。この処理は、ハッシュ衝突を用いたDoS攻撃からの保護を目的としてますが、公開しているページの仕様上、上限値を変更したい場合は、ColdFusion 10 は ColdFusion Administratorの設定から、ColdFusion 9 の場合は、手動で neo-runtime.xml の項目を修正(または項目の追加)を行って下さい。

 

APSB11-29について

  • このセキュリティアップデートが適用されると、ColdFusion 9でcfformタグにaction属性を指定しなかった場合の動作が変更されます。セキュリティを考慮しaction属性を自動生成されなくなりました。、cfformタグのための"アクション"を自動生成しません。メーカーでは、常にcfformタグにaction属性を指定することを推奨していますが、以前の動作に戻したい場合は JVMにフラグ(-Dcoldfusion.generateformaction=true)を追加します。

 

APSB11-14について

  • 追加されたCSRF保護はSessionManagementが有効になっている必要があります。ColdFusion Administratorの[サーバーの設定]-[メモリ変数]で「セッション変数の有効化」を無効にしている(チェックを外している)場合はCSRF保護機能も無効になります。
  • このセキュリティアップデートを適用した後、 "java.io.FileNotFoundException.. /logs/esapiconfig.log"エラーが出力される場合は、[cf_root/lib/log4j.propertiesファイルを開き、esapiconfig.logの絶対パスを変更下さい。

 

APSB11-04について

  • 「セッション固定化によるセキュリティのリスクの脅威の対策」として追加された修正プログラムをオフ(無効)にして、以前の動作に戻したい場合は、JVMにフラグ(-Dcoldfusion.session.protectfixation=false)を追加します。

 


 


記事公開日:2013年05月31日
最終更新日:2013年07月18日


x

Sample Modal Window

This is just a sample…

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.

Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.