※本ページは、下記のメーカーサイトの情報を部分的に抜粋して日本語で紹介していますが、内容の正確さや最新さを保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合(英文ページで情報が追加・変更された場合も含む)には、オリジナルの英文ページの情報を優先して下さい。
2019年3月1日(US時間)に ColdFusion 2016 Update 10 が公開されました。
ColdFusion 2016 Update 10 は、ColdFusion 2018 Update 3、および ColdFusion 11 Update 18と同様に、メーカーで確認されたクリティカルなセキュリティの問題(優先度1)の修正が行われます。ファイルのアップロード制限をバイパスする脆弱性(CVE-2019-7816)により、任意のコードが実行される可能性があります。アドビは、CVE-2019-7816が実際に悪用されたという報告を認識しています。
※上記の「ColdFusion 2016 Update 10 について」の 「注意:」に説明がありますが、最新のセキュリティアップデートの対応のため、JDK(Server JRE) 8u121以降に切り替え(最新のJDK/JREへのアップデートを推奨)と記載されています。下記のFAQ記事を参考に、使用するJVMを変更下さい。
(ColdFusionが使用するJVMを変更する方法について(更新))
ColdFusion 2016 Update 10 の適用は、ColdFusion Administrator の[サーバー更新]で行えます。更新機能についての情報を確認したい方は、下記の記事をご参考下さい。
社内プロキシやセキュリティ強化(ロックダウンの適用)によって、ColdFusion Administratorの更新機能が使えない場合は、手動でアップデートを適用できます。下記の記事をご参考下さい。
Update 10 適用に伴うファイルアップロード時の拡張子制限の追加について
このアップデートを適用すると、ファイルをアップロードする処理
において”新たに追加されたブラックリスト”に指定されている拡張子のアップロードを制限する機能が加わります。また、デフォルトで次に紹介する拡張子がブラックリストに掲載されます。
ブラックリストに掲載されている拡張子のファイルをアップロードする処理がある場合は、この制限によりエラーが発生する場合がありますので、設定を変更するか、あるいはアップロード処理のaccept属性やstrict属性などを変更下さい ⇒ <cffile>アップロード処理(英語)ページ
(※サーバーで実行可能な拡張子.cfm, .cfc, .php, .aspx ...etcを許可した場合、悪意のあるユーザーがそれら拡張子のファイルをアップロードして想定外のプログラムを実行されないよう、必要なセキュリティ対策(例えば、アップロードを許可するユーザーを限定したり、アップロード先をWebルート以外にしたり)を行って下さい)
※このアップデートは、ColdFusion 2016 Update 1~9の修正も含まれた累積アップデートとなります。特に一つ前の Update 8 9では、Java11サポート、多数の不具合修正、および、IIS / Apache コネクタのバージョンアップなどが行われております。Update 8 9を適用していない環境からのアップグレードの際は、下記の Update 9 の FAQページもご覧になった上で、アップデート適用後の確認や作業(例えば接続コネクタのアップグレード)も行って下さい。
ColdFusion 2016 アップデート 9 について
記事公開日:2019年03月04日
最終更新日:2019年03月05日
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.
Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.