ColdFusion 11 アップデート 18 について
※本ページは、下記のメーカーサイトの情報を部分的に抜粋して日本語で紹介していますが、内容の正確さや最新さを保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合(英文ページで情報が追加・変更された場合も含む)には、オリジナルの英文ページの情報を優先して下さい。
2019年3月1日(US時間)に ColdFusion 11 Update 18 が公開されました。
ColdFusion 11 Update 18 は、ColdFusion 2018 Update 3、および ColdFusion 2016 Update 10と同様に、メーカーで確認されたクリティカルなセキュリティの問題(優先度1)の修正が行われます。ファイルのアップロード制限をバイパスする脆弱性(CVE-2019-7816)により、任意のコードが実行される可能性があります。アドビは、CVE-2019-7816が実際に悪用されたという報告を認識しています。
- ColdFusion 11 Update 18 について:
https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-11-update-18.html - Adobeセキュリティ情報:
https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-14.html
(セキュリティ情報ページより抜粋)
注:この攻撃では、Webでアクセス可能なディレクトリに実行可能コードをアップロードしてから、HTTP要求を介してそのコードを実行する機能が必要です。アップロードされたファイルが保存されているディレクトリにリクエストを制限すること(例:Webサーバー側で実行可能な拡張子のリクエストを制限する、ファイルをアップロード先をWebルート外にする、等)で、この攻撃を軽減できます。
※上記の「ColdFusion 11 Update 18 について(英語)」の 「Note:」や一覧で説明がありますが、 最新のセキュリティアップデートの対応のため、JDK(Server JRE) を7u131以降、または8u121以降に切り替え(最新のJDK/JREへのアップデートを推奨)と記載されています 。下記のFAQ記事を参考に、最新の JDK(Server JRE)をインストールのうえ、使用するJVMを変更下さい。
(Java 7の最新リビジョンは2015年4月以降パブリック・アップデートでの公開は終了しているため、入手可能な方はOracle社のJavaサポートを購入したユーザーに限られます))
※このアップデータを適用した後、Java 7から8に切り替える場合は、Update 18を適用した後に、ひとつのファイルを手動でコピーする旨の記載があります。詳しくは下記をご覧ください。
ColdFusion 11 Update 18 の適用は、ColdFusion Administrator の[サーバー更新]で行えます。更新機能についての情報を確認したい方は、下記の記事をご参考下さい。
社内プロキシやセキュリティ強化(ロックダウンの適用)によって、ColdFusion Administratorの更新機能が使えない場合は、手動でアップデートを適用できます。下記の記事をご参考下さい。
Update 18 適用に伴うファイルアップロード時の拡張子制限の追加について
このアップデートを適用すると、ファイルをアップロードする処理において”新たに追加されたブラックリスト”に指定されている拡張子のアップロードを制限する機能が加わります。また、デフォルトで次に紹介する拡張子がブラックリストに掲載されます。
ブラックリストに掲載されている拡張子のファイルをアップロードする処理がある場合は、この制限によりエラーが発生する場合がありますので、設定を変更するか、あるいはアップロード処理のaccept属性やstrict属性などを変更下さい ⇒ <cffile>アップロード処理(英語)ページ
(※サーバーで実行可能な拡張子.cfm, .cfc, .php, .aspx ...etcを許可した場合、悪意のあるユーザーがそれら拡張子のファイルをアップロードして想定外のプログラムを実行されないよう、必要なセキュリティ対策(例えば、アップロードを許可するユーザーを限定したり、アップロード先をWebルート以外にしたり)を行って下さい)
- ColdFusion Administratorの[サーバー設定]> [設定]にアップロードをブロックする拡張子のオプションが追加されます。
- デフォルトでは、次の拡張子のファイルアップロードがブロックされます。詳細については、サーバー設定(英語)ページをご確認ください
- AS
- ASP
- ASPX
- BIN
- CFC
- CFM
- CFML
- CFR
- CFSWF
- DMG
- EXE
- HBXML
- JSP
- JSPX
- JWS
- MXML
- PHP
- SWC
- SWS
- デフォルトでは、次の拡張子のファイルアップロードがブロックされます。詳細については、サーバー設定(英語)ページをご確認ください
- Application.cfcを使用されているユーザーは、アプリケーションプロパティ(設定)にblockedExtForFileUpload が追加され、アプリケーションごとにアップロードをブロックする拡張子の指定を行うことができます。詳しくはアプリケーション(英語)ページをご確認ください
- Admin API の setRuntimeProperty に、新しいBlockedExtForFileUploadプロパティが追加されました。値にはファイルアップロードを制限するためのファイル拡張子のコンマ区切りリストを指定します。詳しくはアップデート(英語)ページをご確認ください
※このアップデートは、ColdFusion 11 Update 1~17 の修正も含まれた累積アップデートとなります。
その他、Update 18 を適用する際のポイントについて
- (再掲)Update 9 以降、 Java 1.8 環境上での ODBC Socket の動作に関する修正が行われています。詳しくは下記をご覧ください。
- (再掲)
(重要)<cfhtmltopdf>タグをお使いの方は、Update 8 以降を適用した後に、表示に問題が発生する場合があります。下記のページを参考の上、該当される場合は修正を行って下さい。 - Update 18では接続コネクタは変更されていません。Update 12~17適用後に接続コネクタを再定義(一旦コネクタを削除し、再登録)を行った環境から Update 18を適用した際は接続コネクタの再定義は必要ありません。それよりも前のUpdate環境からUpdate 18を適用した際は、webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい。
- コネクタを再設定する作業の前に、既存のコネクタ設定ファイルのバックアップを推奨しています。コネクタ関連の設定ファイルは{cf_install_home}/config/wsconfig/ フォルダに置かれていますので、フォルダごとバックアップし、コネクタの再登録後に何か問題等が発生した時はバックアップしたそれらファイルの内容と比較して原因を調査下さい。
- 最近のアップデータを適用した環境であれば、コネクタ設定の操作を行った際にバックアップが {cf_install_home}/config/wsconfig/backup フォルダ内に自動的に作成されるようになりました。
- コネクタを再設定する作業の前に、既存のコネクタ設定ファイルのバックアップを推奨しています。コネクタ関連の設定ファイルは{cf_install_home}/config/wsconfig/ フォルダに置かれていますので、フォルダごとバックアップし、コネクタの再登録後に何か問題等が発生した時はバックアップしたそれらファイルの内容と比較して原因を調査下さい。
- その他
- 本番環境へのアップデータを適用前に、テスト環境等でパッチの適用方法の確認とパッチ適用後の十分な動作確認を行って下さい。
- ColdFusion Administratorの[サーバー更新]-[更新]画面で、アップデートの[ダウンロードとインストール]を行う際に「[cf_root]/cfusion(インスタンス名)/hf-updates/hotfix_018.propertiesファイルの書き込みを行う際に、エラーが発生しました」エラーが発生した場合は、[cf_root]/cfusion(インスタンス名)/hf-updatesフォルダに書き込み権限があることを確認して下さい。
- メーカーのアドビ システムズ社は、ColdFusion Administrator(/CFIDE/administrator)および、AdminAPI(/CFIDE/AdminAPI)への外部からのアクセスをブロックすることを強く推奨しています。それら詳細は、ColdFusion 11 の LockDown Guide をご参照下さい。
- ColdFusion 11 LockDown Guide
http://www.adobe.com/content/dam/Adobe/en/products/coldfusion/pdfs/cf11/cf11-lockdown-guide.pdf
- ColdFusion 11 LockDown Guide
記事公開日:2019年03月04日
最終更新日:2019年03月04日
Sample Modal Window
This is just a sample…
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.
Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.