最新のセキュリティアップデートを適用した際の、過去の修正の影響に関する参考情報

1. Home
2. » よくある質問(FAQ)
3. » 技術情報
4. » 最新のセキュリティアップデートを適用した際の、過去の修正の影響に関する参考情報

ColdFusion 9.0.x、10用に提供される最新のセキュリティアップデートには過去の修正も含まれています。
（※例外として2013年7月10日に公開されたCF9用セキュリティアップデート（APSB13-19）は、内部エンジンのJRunに対する修正プログラムのため過去の修正は含まれない単体のパッチプログラムとなります）

そのため、今までセキュリティアップデートを当てていない環境や、しばらくセキュリティパッチを当てていなかった環境に最新のセキュリティアップデートを当てた場合は、今回の修正だけでなく過去の修正も影響して、それまでと動きが違ったりエラーが発生する場合があります。

個々のセキュリティパッチの詳細ページでは過去の修正に関する情報は掲載されていません。そのため、テックノートとして、過去のセキュリティパッチの修正の影響に関する一覧を公開しています。

ColdFusion Help / Important hot fix-related notes
http://helpx.adobe.com/coldfusion/kb/important-hotfix-related-notes.html

上記英文ページの内容に関する参考情報

注意）以下の内容は、上記の『ColdFusion Help / Important hot fix-related notes』のページを部分的に日本語で紹介しているものです。本ページの内容の正確さや最新さを保証するものではありません。本ページの内容と上記の英文ページとの間に齟齬や矛盾があった場合には、オリジナルの英文ページを優先いたします。

※本参考情報は5月20日時点の情報となります。その後、オリジナルの英文ページで項目の追加や修正が行われ、こちらの情報が古い可能性があります。

APSB13-03について

• このホットフィックスを当てると、デフォルトでRDSを無効にします。それを有効にするには、新たに追加された[RDSサービスを有効にする]の設定（チェックボックス）を有効にします。
  • 参考情報
    • ColdFusion 9の場合
      http://cfassociates.samuraiz.co.jp/index.cfm/faq/coldfusion9/rdsonoff/
    • ColdFusion 10の場合
      http://cfassociates.samuraiz.co.jp/index.cfm/faq/aboutcf/cf10-rdsonoff/
       
  • RDSを無効から有効に変更する場合は、web.xmlファイルを開き、RDSServletに関連する設定がコメントアウトされていないことを確認下さい。
    • ColdFusion 9の場合
      http://help.adobe.com/ja_JP/ColdFusion/9.0/Installing/WSf01dbd23413dda0e-3f89e8d411fae637e44-8000.html
    • ColdFusion 10の場合
      http://help.adobe.com/ja_JP/ColdFusion/10.0/Installing/WSf01dbd23413dda0e-3f89e8d411fae637e44-8000.html
• ColdFusion Administrator の「スケジュールされたタスク」や「システムプローブ（Enterprise版のみ）」の出力内容（実行されたページ内で出力された内容）のファイルへの書き出しで、ファイル名に指定する拡張子に制限が加えられました。
  • 参考情報
    • http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/output-scheduledtask-probe/

APSB12-26について

• 名前付きアプリケーション変数の値をサーブレットコンテキストで使用できなくなりました。以前の動作に戻すには JVMにフラグ（-Dcoldfusion.allowappdatainservletcontext=true）を追加します。
  • 参考情報
    • http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/cf-allowappdatainservletcontext/

APSB12-25について

• この問題はColdFusion10でIISとColdFusionとの組み合わせで確認されています。この組み合わせで利用されている方は、ColdFusion 10 Update 5 以降をインストールした後に、コネクタの再登録を行って下さい。また、インターネット経由で外部からの jakarta 仮想ディレクトリへのアクセスされた場合に対応するため、設定ファイル等を見られないよう、webサーバーのMIMEタイプの設定を確認下さい。以下のファイル名の拡張子のMIMEタイプのエントリが存在しないことを確認します。
  • Properties
  • Log

APSB12-21について

• メーカーでは、このセキュリティアップデートが適用された後に、サンドボックスセキュリティ内での無効な関数のリストにgetPageContextを追加することを推奨しています。しかしながら、これはDoS攻撃に対する保護のための要件ではありません。

APSB12-06について

• このセキュリティアップデートによって、ColdFusionにpost パラメータの制限に関する新しい設定が追加されます。フォームなどからのPOSTリクエスト時のパラメータ数をデフォルトで100に制限します。この処理は、ハッシュ衝突を用いたDoS攻撃からの保護を目的としてますが、公開しているページの仕様上、上限値を変更したい場合は、ColdFusion 10 は ColdFusion Administratorの設定から、ColdFusion 9 の場合は、手動で neo-runtime.xml の項目を修正（または項目の追加）を行って下さい。
  • ※ColdFusion  Administrator の[サーバーの設定] - [設定] にある「送信データの最大サイズ」の設定ではありませんので注意して下さい。
  • 参考情報
    http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/coldfusion-postparameterslimit/

APSB11-29について

• このセキュリティアップデートが適用されると、ColdFusion 9でcfformタグにaction属性を指定しなかった場合の動作が変更されます。セキュリティを考慮しaction属性を自動生成されなくなりました。、cfformタグのための"アクション"を自動生成しません。メーカーでは、常にcfformタグにaction属性を指定することを推奨していますが、以前の動作に戻したい場合は JVMにフラグ（-Dcoldfusion.generateformaction=true）を追加します。
  • ColdFusion 10では、更に異なる動作（自動生成する際に値のエンコードが合わせて行われます）をします。
  • 参考情報
    http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/cf-cfform/

APSB11-14について

• 追加されたCSRF保護はSessionManagementが有効になっている必要があります。ColdFusion Administratorの[サーバーの設定]-[メモリ変数]で「セッション変数の有効化」を無効にしている（チェックを外している）場合はCSRF保護機能も無効になります。
• このセキュリティアップデートを適用した後、 "java.io.FileNotFoundException.. /logs/esapiconfig.log"エラーが出力される場合は、[cf_root/lib/log4j.propertiesファイルを開き、esapiconfig.logの絶対パスを変更下さい。

APSB11-04について

• 「セッション固定化によるセキュリティのリスクの脅威の対策」として追加された修正プログラムをオフ（無効）にして、以前の動作に戻したい場合は、JVMにフラグ（-Dcoldfusion.session.protectfixation=false）を追加します。
  • 参考情報
    http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/cf-clustering/

記事公開日：2013年05月31日
最終更新日：2013年07月18日