ColdFusion 2016 アップデート 15 についての参考情報

1. Home
2. » よくある質問(FAQ)
3. » ColdFusion2016情報
4. » ColdFusion 2016 アップデート 15 についての参考情報

※本ページは、メーカーサイトの情報を部分的に抜粋して紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合（英文ページで情報が追加・変更された場合も含む）には、オリジナルの英文ページの情報を優先して下さい。

－【注意】－－－－－－－－－－－－

Update 13以前からUpdate 15を適用した場合、ColdFusionが（自動で）再起動された後から、IIS/Apacheを経由した.cfmや.cfcリクエストがすべて「HTTP 403」エラーとなります。

HTTPステータス 403 - Forbidden

Type ステータスレポート

説明 The server understood the request but refuses to authorize it.

そのため、Updateの適用が完了した後、Webサーバーコネクタの「アップグレード」または「再定義」を必ず行ってください。再定義後も引き続きエラー「HTTP403エラー」「HTTP503エラー」が発生する場合は、Update14の参考情報をご確認ください

－－－－－－－－－－－－－－－－－

2020年4月14日(US時間)に ColdFusion 2016 Update 15 が公開されました。このアップデートは、メーカーで確認された重要なセキュリティの問題（優先度2）の修正が行われています。
（参考⇒メーカーの公式ブログの投稿）

• Update 15では、CookieのSamesite機能の追加が行われています。
  • <cfcookie>と、Session Cookie（CFID, CFTOKEN）、およびAuthCookie（<cflogin>で発行される認証Cookie）に対してSamesiteの指定が可能です。詳細については、下記のUpdate 15についてのサイトを確認ください
  • SamesiteはGoogle Chrome のバージョン80より Cookieのセキュリティ性を高める目的で導入された機能ですが、新型コロナウイルス（COVID-19）の世界的な流行のため、この機能は一時的に導入前の状態に戻す（ロールバック）されています。詳細はGoogle Chromeのprojectページをご確認ください

－－－－－－－－－－－－－－－

• ColdFusion 2016 Update 15 について：
  https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2016-update-15.html
• ColdFusion 2016 Update Release notes （英語サイト） ：
  https://helpx.adobe.com/coldfusion/release-note/coldfusion-2016-updates-release-notes.html
  • 日本語ページ（翻訳されるまでに時間が掛かる場合があります）
    • https://helpx.adobe.com/jp/coldfusion/release-note/coldfusion-2016-updates-release-notes.html

※上記の「ColdFusion 2016 Update 15 について」の 「注意:（日本語サイトが公開されていない場合は、Update11の注意）」に説明がありますが、Update 7以降に対応したセキュリティに対応するため、JDK(Server JRE) 8u121以降に切り替え（最新のJDK/JREへのアップデートを推奨）と記載されています。下記のFAQ記事を参考に、使用するJVMを変更下さい。 
（ColdFusionが使用するJVMを変更する方法について（更新））

アップデートの際の注意点

• Update13以前の環境からUpdate15を適用し、ColdFusionが自動的に再起動された後、IIS/Apacheを経由した.cfmや.cfcのリクエストは「HTTPステータス 403 - Forbidden」エラーとなるため、Webサーバー接続コネクタの「アップグレード」または「再定義」が必要です
  • Update 14からの更新の方は、作業は必要ありません
  • Update 13の環境（Webサーバー接続コネクタも更新済み）から更新した場合
    • 接続コネクタの「アップグレード」を行ってください
      
       
  • Update 12以前の環境からUpdate 15を適用する場合、または、Update 13は適用済みだけれどもWebサーバー接続コネクタを更新していなかった場合
    • 接続コネクタの「再定義（一旦コネクタを削除し、再登録）」を行ってください。
      webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
      ※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
      https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
      ※参考記事「ColdFusionクリニック」
      http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html
       
      • 【注意】コネクタ関連に独自の修正や設定変更等を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定のバックアップを置くことが可能になりましたので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。
      • 攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態でも外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行いません
         
• ColdFusion Administratorから Update 15をインストールする場合は、（Update11にて差し替えられた証明書を利用するため）Update 11～14 がインストールされている必要があります。それ以前のUpdateからUpdate 15に更新される場合は、一旦 Update 11を適用頂くか、手動（Update 15のファイルをダウンロードしコマンド実行）でUpdate 15をインストールしてください
  （手動で Update を適用する場合の参考情報）
  http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/cfupd-manually/
   
• 既に AJP に対する防御として、requiredSecret の設定を追加している場合、（英語サイトの情報と異なり）requiredSecret の設定はそのままに secret の設定が追加され、別のランダム値が指定される模様です。その後はsecretの設定が優先されるようですので、コネクタの更新（アップグレードまたは再定義）を行ってください。

アップデートのポイント

• このアップデートは、ColdFusion 2016 Update 1～14の修正も含まれた累積アップデートとなります。Update 10ではセキュリティ修正に伴うファイルアップロードの制限の追加、Update 11では、一部モジュールのリモート呼び出し機能の無効化などが行われております。いくつかのUpdateをスキップしてUpdate 13を適用する場合は、スキップするUpdateの影響についても確認してください
  • ColdFusion 2016 アップデート 14 についての参考情報
  • ColdFusion 2016 アップデート 13 についての参考情報
  • ColdFusion 2016 アップデート 12 についての参考情報
  • ColdFusion 2016 アップデート 11 についての参考情報
  • ColdFusion 2016 アップデート 10 についての参考情報
    • ColdFusion 2016 Update 10以降を適用すると、ファイルをアップロードする処理において”新たに追加されたブラックリスト”に指定されている拡張子のアップロードを制限する機能が加わります。また、デフォルトで次に紹介する拡張子がブラックリストに掲載されます。詳しくは、リンク先のColdFusion 2016 Update10のページをご確認ください
  • ColdFusion 2016 アップデート 9 についての参考情報
    • Oracle Java 11をサポートします。記事作成時点で、アドビ社のサイトよりダウンロード可能な Oracle Java 11 をColdFusion 2016にご利用いただけます。Java 11のダウンロードは、リンク先のページの「Java 11 のサポート。Java 11 と Java 8 のインストーラーをダウンロードする方法については、「ダウンロード」を参照してください。」に案内がございます

• 本番環境へのアップデータを適用前に、テスト環境等でパッチの適用方法の確認とパッチ適用後の十分な動作確認を行って下さい
  • ColdFusion Administratorを利用した更新を行う場合の一般的な手順や注意事項等については、下記のFAQをご参考ください
    アップデートを適用する手順の参考情報
  • サーバー自動ロックダウンを使用してサーバーがロックダウンしている環境や、インターネットに接続が制限される社内プロキシ内の環境などでColdFusion Administratorの更新機能が使えない場合、Update 10以前からUpdate 15を直接適用したい場合は、手動のアップデートを適用する方法をお試しください。詳しくは、下記の記事をご参考下さい
    手動でアップデータを適用する際の注意事項
  • ColdFusion Administrator の [サーバー更新]-[更新] 画面で、アップデートの [ダウンロードとインストール] を行う際に「[cf_root]/cfusion(インスタンス名)/hf-updates/hf-2016-0015-318650.propertiesファイルの書き込みを行う際に、エラーが発生しました」というエラーが発生した場合は、[cf_root]/cfusion(インスタンス名)/hf-updatesフォルダに書き込み権限があることを確認して下さい
• ColdFusion 2016以降、ColdFusion Administrator（/CFIDE/administrator）へのアクセスは同梱のWebサーバー（デフォルトポート8500）で行います。同梱のWebサーバーのセキュリティを高める（SSL等）方法などは、ColdFusion 2018 の サーバーの自動ロックダウンガイドに設定例が紹介されております。
  • lockdown guide
    https://www.adobe.com/content/dam/acom/en/products/coldfusion/pdfs/coldfusion-2018-lockdown-guide.pdf
     
• Java 1.8 環境上での ODBC Socket の動作に関する修正は、Update 2で行われています。詳しくは下記をご覧ください。
  • http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/cf-securelink-servicecodepage/
  • ODBC Socketを使用した接続は、ColdFusin 2016以降は既にメーカーサポート外の機能となっておりますが、下位互換性のため、機能が残されています。

記事公開日：2020年04月16日
最終更新日：2020年06月26日