ColdFusion 2016 アップデート 10 について
※本ページは、下記のメーカーサイトの情報を部分的に抜粋して日本語で紹介していますが、内容の正確さや最新さを保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合(英文ページで情報が追加・変更された場合も含む)には、オリジナルの英文ページの情報を優先して下さい。
2019年3月1日(US時間)に ColdFusion 2016 Update 10 が公開されました。
ColdFusion 2016 Update 10 は、ColdFusion 2018 Update 3、および ColdFusion 11 Update 18と同様に、メーカーで確認されたクリティカルなセキュリティの問題(優先度1)の修正が行われます。ファイルのアップロード制限をバイパスする脆弱性(CVE-2019-7816)により、任意のコードが実行される可能性があります。アドビは、CVE-2019-7816が実際に悪用されたという報告を認識しています。
- ColdFusion 2016 Update 10 について:
https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2016-update-10.html - ColdFusion 2016 Update Release notes (英語) :
https://helpx.adobe.com/coldfusion/release-note/coldfusion-2016-updates-release-notes.html - Adobeセキュリティ情報:
https://helpx.adobe.com/jp/security/products/coldfusion/apsb19-14.html
(セキュリティ情報ページより抜粋)
注:この攻撃では、Webでアクセス可能なディレクトリに実行可能コードをアップロードしてから、HTTP要求を介してそのコードを実行する機能が必要です。アップロードされたファイルが保存されているディレクトリにリクエストを制限すること(例:Webサーバー側で実行可能な拡張子のリクエストを制限する、ファイルをアップロード先をWebルート外にする、等)で、この攻撃を軽減できます。
※上記の「ColdFusion 2016 Update 10 について」の 「注意:」に説明がありますが、最新のセキュリティアップデートの対応のため、JDK(Server JRE) 8u121以降に切り替え(最新のJDK/JREへのアップデートを推奨)と記載されています。下記のFAQ記事を参考に、使用するJVMを変更下さい。
(ColdFusionが使用するJVMを変更する方法について(更新))
ColdFusion 2016 Update 10 の適用は、ColdFusion Administrator の[サーバー更新]で行えます。更新機能についての情報を確認したい方は、下記の記事をご参考下さい。
社内プロキシやセキュリティ強化(ロックダウンの適用)によって、ColdFusion Administratorの更新機能が使えない場合は、手動でアップデートを適用できます。下記の記事をご参考下さい。
Update 10 適用に伴うファイルアップロード時の拡張子制限の追加について
このアップデートを適用すると、ファイルをアップロードする処理において”新たに追加されたブラックリスト”に指定されている拡張子のアップロードを制限する機能が加わります。また、デフォルトで次に紹介する拡張子がブラックリストに掲載されます。
ブラックリストに掲載されている拡張子のファイルをアップロードする処理がある場合は、この制限によりエラーが発生する場合がありますので、設定を変更するか、あるいはアップロード処理のaccept属性やstrict属性などを変更下さい ⇒ <cffile>アップロード処理(英語)ページ
(※サーバーで実行可能な拡張子.cfm, .cfc, .php, .aspx ...etcを許可した場合、悪意のあるユーザーがそれら拡張子のファイルをアップロードして想定外のプログラムを実行されないよう、必要なセキュリティ対策(例えば、アップロードを許可するユーザーを限定したり、アップロード先をWebルート以外にしたり)を行って下さい)
- ColdFusion Administratorの[サーバー設定]> [設定]にアップロードをブロックする拡張子のオプションが追加されます。
- デフォルトでは、次の拡張子のファイルアップロードがブロックされます。詳細については、サーバー設定(英語)ページをご確認ください
- AS
- ASP
- ASPX
- BIN
- CFC
- CFM
- CFML
- CFR
- CFSWF
- DMG
- EXE
- HBXML
- JSP
- JSPX
- JWS
- MXML
- PHP
- SWC
- SWS
- デフォルトでは、次の拡張子のファイルアップロードがブロックされます。詳細については、サーバー設定(英語)ページをご確認ください
- Application.cfcを使用されているユーザーは、アプリケーションプロパティ(設定)にblockedExtForFileUpload が追加され、アプリケーションごとにアップロードをブロックする拡張子の指定を行うことができます。詳しくはアプリケーション(英語)ページをご確認ください
- Admin API の setRuntimeProperty に、新しいBlockedExtForFileUploadプロパティが追加されました。値にはファイルアップロードを制限するためのファイル拡張子のコンマ区切りリストを指定します。詳しくはアップデート(英語)ページをご確認ください
※このアップデートは、ColdFusion 2016 Update 1~9の修正も含まれた累積アップデートとなります。特に一つ前の Update 8 9では、Java11サポート、多数の不具合修正、および、IIS / Apache コネクタのバージョンアップなどが行われております。Update 8 9を適用していない環境からのアップグレードの際は、下記の Update 9 の FAQページもご覧になった上で、アップデート適用後の確認や作業(例えば接続コネクタのアップグレード)も行って下さい。
ColdFusion 2016 アップデート 9 について
- その他
- 本番環境へのアップデータを適用前に、テスト環境等でパッチの適用方法の確認とパッチ適用後の十分な動作確認を行って下さい。
- ColdFusion Administratorの[サーバー更新]-[更新]画面で、アップデートの[ダウンロードとインストール]を行う際に「[cf_root]/cfusion(インスタンス名)/hf-updates/hf-2016-0010-314028.propertiesファイルの書き込みを行う際に、エラーが発生しました」エラーが発生した場合は、[cf_root]/cfusion(インスタンス名)/hf-updatesフォルダに書き込み権限があることを確認して下さい。
- Update 10 では コネクタの更新は行われていません。Update 8 または 9でコネクタのバージョンアップを行われている環境から Update 10を適用した際はコネクタの更新は必要ありません。Update 7以前、および Update 8または9の適用後に接続コネクタのバージョンアップを行っていない方は、Update 10適用後に「webサーバー設定ツール」を起動し、WebサーバーとColdFusion 2016との接続コネクタを新しいバージョンにするために、接続コネクタを再定義(一旦コネクタを削除し、再登録)を行って下さい。webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい。
※「Webサーバー設定ツール」の起動方法は、下記のオンラインマニュアルをご覧ください
https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
※参考記事「ColdFusionクリニック」
http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html - 独自にコネクタの設定を変更されている場合は、コネクタをアップグレードすることによってそれらの値が元に戻されている可能性があります。独自の設定が省かれた場合は、再度それらの設定をやり直して下さい。
- アップグレードする前のコネクタ設定ファイルが{cf_install_home}/config/wsconfig/backup フォルダに自動的にバックアップされていますので、それらバックアップされたファイルの設定とアップグレード後の設定とを比較して設定を変更下さい。
- メーカーのアドビ システムズ社は、ColdFusion Administrator(/CFIDE/administrator)および、AdminAPI(/CFIDE/AdminAPI)への外部からのアクセスをブロックすることを強く推奨しています。それら詳細は、ColdFusion 2016 の LockDown Guide をご参照下さい。
- ColdFusion 2016 LockDown Guide
http://wwwimages.adobe.com/content/dam/acom/en/products/coldfusion/pdfs/coldfusion-2016-lockdown-guide.pdf
- ColdFusion 2016 LockDown Guide
- Java 1.8 環境上での ODBC Socket の動作に関する修正は、Update 2で行われています。詳しくは下記をご覧ください。
記事公開日:2019年03月04日
最終更新日:2019年03月05日
Sample Modal Window
This is just a sample…
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.
Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.