【更新】ColdFusion 2021 Update 3 / 2018 Update 13 用パッチ（log4j2 2.17.1パッチ）

1. Home
2. » よくある質問(FAQ)
3. » 技術情報
4. » 【更新】ColdFusion 2021 Update 3 / 2018 Update 13 用パッチ（log4j2 2.17.1パッチ）

※本ページは、メーカーサイトの情報を紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合（英文ページで情報が追加・変更された場合も含む）は、オリジナルの英文ページの情報を優先して下さい。

米国時間2021年12月17日に log4j2関連の脆弱性（CVE-2021-44228 および CVE-2021-45046）を解決する目的で ColdFusion 2021 Update 3 / ColdFusion 2018 Update 13 がリリースされました。Update を適用することで、log4j2関連のjarが2.16.0にアップグレードされます。

log4j2 については、さらに 2021年12月18日に新たな脆弱性のCVE-2021-45105が公開されました。ColdFusionではこの脆弱性の影響も確認されていませんが、ベストプラティクスとして ColdFusion 2021 Update 3、および 2018 Update 13を対象に、Log4j2 ライブラリを 2.17.0 にアップグレードするためのパッチが公開されました。

https://helpx.adobe.com/coldfusion/kb/log4j-2-16-vulnerability-coldfusion.html

（2022/1/12 追記）
さらに、2021年12月28日にApache log4j 2 v2.17.0 (CVE-2021-44832)でリモート コード実行 (RCE) 攻撃に対する脆弱性の問題が報告されました。ColdFusionではこの脆弱性の影響も確認されていませんが、ベストプラティクスとして ColdFusion 2021 Update 3、および 2018 Update 13を対象に、Log4j2 ライブラリを 2.17.1 にアップグレードするためのパッチが公開されました。現時点で日本語ページが用意されていないため、当ページにて抄訳・補足を含めて紹介します。

https://helpx.adobe.com/coldfusion/kb/log4j-2-17-0-vulnerability-coldfusion.html

パッチ適用の手順:

ColdFusion2021 Update 3 / ColdFusion 2018 Update 13:

1. 前提として、ColdFusion 2021 Update 3 / ColdFusion 2018 Update 13が適用済みの必要があります。適用されていない方は、最初にそれら Update を必ず適用してください。
   • ColdFusion 2021 Update 3
     • メーカーサイト→https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2021-update-3.html
     • 当サイト参考情報→https://cfassociates.samuraiz.co.jp/index.cfm/faq/coldfusion2021/cf2021-update-3/
   • ColdFusion 2018 Update 13
     • メーカーサイト→https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2018-update-13.html
     • 当サイト参考情報→https://cfassociates.samuraiz.co.jp/index.cfm/faq/coldfusion2018/cf2018-update-13/
2. ColdFusionを停止してください
   • Enterprise版でマルチインスタンスを実行されている場合はすべてのインスタンスを停止してください
3. <cf_root>\<インスタンス(cfusion等)>\lib ディレクトリに移動し、以下の３つのlog4j2のファイルを削除します
   ・log4j-core-2.16.0.jar
   ・log4j-api-2.16.0.jar
   ・log4j-to-slf4j-2.16.0.jar
   （※ 2022/1/12追記 前回のベストプラティクスで2.17.0に更新済みの場合は以下を削除します）
   ・log4j-core-2.17.0.jar
   ・log4j-api-2.17.0.jar
   ・log4j-to-slf4j-2.17.0.jar
   • （追記①：注意）上記以外のlog4jファイル(例：log4j.jar, log4j-1.2.15.jar)は、削除しないでください。もし、誤って削除するとColdFusionの起動に障害が発生する原因となります
   • （追記②：注意）削除ではなく、別のディレクトリに移動する場合は、必ずColdFusionのルートフォルダ以外に移動してください。もし、ファイル名を変えただけで放置していると、引き続き脆弱性のあるlog4j2を読み込む原因となります
   そして、メーカーサイトで公開されているzipファイル( log4j2.17.1)をダウンロード・解凍し、zipに含まれるファイルの中から、以下の3ファイルをこの場所に配置します
   ・log4j-core-2.17.1.jar
   ・log4j-api-2.17.1.jar
   ・log4j-to-slf4j-2.17.1.jar
   • （追記③：注意）解凍したzipファイルには６つのファイルが含まれていますが、上記で指示されている３つのファイルだけを配置してください（他の３つはPMTやAPIMで差し替えるファイルです）。誤ったファイルを配置すると、ColdFusionの起動や実行に障害が発生する原因となります
      
4. ファイルの差し替えが終わったらColdFusionを起動してください
5. すべてのインスタンスに対してこれを繰り返します

以下は、ColdFusionとは別のインストーラーで、「パフォーマンス管理ツールセット（PMT）」、または、「APIマネージャー（APIM）」をインストールされている方のみ対象となります。

パフォーマンス管理ツールセット（PMT）2021 / 2018:

1. 前提として、PMT 2021 Update 3 / PMT 2018 Update 4が適用済みの必要があります。適用されていない方は、最初にそれら Update を必ず適用してください。
   • PMT 2021 Update 3 メーカーサイト→https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2021-performance-monitoring-toolset-update-3.html
   • PMT 2018 Update 4メーカーサイト→https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2018-performance-monitoring-toolset-update-4.html

   ※注：Windowsでは、更新プログラムを手動でインストールする必要があります。
   インストールする前に「ColdFusion-PMT-2021|2018-Datastore-Service」を停止し、手動の手順に従って更新プログラムを適用する必要があります。
   Windows以外の環境の場合、更新はPMTのダッシュボードまたはコマンドラインからインストールできます。

2. Performance Monitoring Toolset 及び Datastore を停止します
3. <PMT_Home>\libディレクトリに移動します
4. 以下の２つのlog4j2のファイルを削除します
   ・log4j-core-2.16.0.jar
   ・log4j-api-2.16.0.jar
   （※ 2022/1/12追記 前回のベストプラティクスで2.17.0に更新済みの場合は以下を削除します）
   ・log4j-core-2.17.0.jar
   ・log4j-api-2.17.0.jar
   • （追記①）削除ではなく、別のディレクトリに移動する場合は、必ずPMTのルートフォルダ以外に移動してください。もし、ファイル名を変えただけで放置していると、引き続き脆弱性のあるlog4j2を読み込む原因となります
   そして、メーカーサイトで公開されているzipファイル( log4j2.17.1)をダウンロード・解凍し、zipに含まれるファイルの中から、以下の2ファイルをこの場所に配置します
   ・log4j-core-2.17.1.jar
   ・log4j-api-2.17.1.jar
5. <PMT_Home>\datastore\libディレクトリに移動します
6. 以下の３つのlog4j2のファイルを削除します
   ・log4j-core-2.16.0.jar
   ・log4j-api-2.16.0.jar
   ・log4j-1.2-api-2.16.0.jar
   （※ 2022/1/12追記 前回のベストプラティクスで2.17.0に更新済みの場合は以下を削除します）
   ・log4j-core-2.17.0.jar
   ・log4j-api-2.17.0.jar
   ・log4j-1.2-api-2.17.0.jar
   • （追記②）削除ではなく、別のディレクトリに移動する場合は、必ずPMTのルートフォルダ以外に移動してください。もし、ファイル名を変えただけで放置していると、引き続き脆弱性のあるlog4j2を読み込む原因となります
   そして、解凍したzip( log4j2.17.1)に含まれるファイルの中から、以下の3ファイルをこの場所に配置します
   ・log4j-core-2.17.1.jar
   ・log4j-api-2.17.1.jar
   ・log4j-1.2-api-2.17.1.jar
7. ファイルの差し替えが終わったらPerformance Monitoring Toolset 及び Datastore を起動してください

 APIM 2021 および APIM 2018、2016:

1. 最新の更新を適用していない場合は、先に最新の更新を適用してください
   • ColdFusion API Manager updates
     • メーカーサイト→https://helpx.adobe.com/coldfusion/kb/coldfusion-api-manager-updates.html
2. APIM serverを停止します
3. <APIM_Home>\lib ディレクトリに移動します
4. 以下の３つのlog4j2のファイルを削除します
   ・log4j-core-2.16.0.jar
   ・log4j-api-2.16.0.jar
   ・log4j-slf4j-impl-2.16.0.jar
   ・log4j-jul-2.16.0.jar
   （※ 2022/1/12追記 前回のベストプラティクスで2.17.0に更新済みの場合は以下を削除します）
   ・log4j-core-2.17.0.jar
   ・log4j-api-2.17.0.jar
   ・log4j-slf4j-impl-2.17.0.jar
   ・log4j-jul-2.17.0.jar
   • （追記①）削除ではなく、別のディレクトリに移動する場合は、必ずAPIMのルートフォルダ以外に移動してください。もし、ファイル名を変えただけで放置していると、引き続き脆弱性のあるlog4j2を読み込む原因となります
      
   そして、メーカーサイトで公開されているzipファイル( log4j2.17.1)をダウンロード・解凍し、zipに含まれるファイルの中から、以下の3ファイルをこの場所に配置します
   ・log4j-core-2.17.1.jar
   ・log4j-api-2.17.1.jar
   ・log4j-slf4j-impl-2.17.1.jar
   ・log4j-jul-2.17.1.jar
5. ファイルの差し替えが終わったらAPIMを起動してください

（2022/1/12 追記）記事の内容、及び、タイトルを変更しました（旧タイトル：ColdFusion 2021 Update 3 / 2018 Update 13 用パッチ（log4j2 2.17.パッチ） ）
 

記事公開日：2021年12月22日
最終更新日：2022年01月12日