名前付きアプリケーション変数は、サーブレット·コンテキストで使用できません

2012年12月に公開されたセキュリティアップデート（APSB12-26、およびそれ以降）を適用したColdFusion 9 と 10（Updater 6以降）では、名前付きアプリケーション変数を、サーブレット·コンテキストで使用できなくなりました。これは、APSB12-26 で共有ホスティング環境でのsandboxパーミッション違反につながる脆弱性を解決したことによるセキュリティ強化となります。

これはColdFusionとJSPとの相互運用を行っているアプリケーションに影響を与える可能性があります。例えば、下記のオンラインマニュアル（「ColdFusion 10 アプリケーションの開発」マニュアルの[Web 要素および外部オブジェクトの使用] - [CFML アプリケーションへの J2EE および Java 要素の統合] - 『JSP ページおよびサーブレットとの相互運用』ページに記載されている「例 : CFML での JSP の使用」の『ColdFusion ページからの JSP ページの呼び出し』『JSP ページからの ColdFusion ページの呼び出し』のサンプルプログラムは、エラーが発生するようになります。

http://help.adobe.com/ja_JP/ColdFusion/10.0/Developing/WSc3ff6d0ea77859461172e0811cbec22c24-786c.html
（JSP ページおよびサーブレットとの相互運用）

本影響が発生しているユーザーは、対策として下記のどちらかをご検討下さい。

名前付きアプリケーションを使用しない
- 上記の「JSP ページおよびサーブレットとの相互運用」ページ内に記載されている『名前のない ColdFusion Application および Session スコープ』に記載されている方法にてアプリケーション変数を設定します。
新たに追加されたフラグを JVM に追加して以前の動作に戻します。
- JVM引数に追加するフラグについては下記の Note 4に記載されています。
  http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb12-26.html

記事公開日：2012年12月27日
最終更新日：2013年01月23日

Sample Modal Window

This is just a sample…