ColdFusion 2016 アップデート 14 についての参考情報
※本ページは、メーカーサイトの情報を部分的に抜粋して紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合(英文ページで情報が追加・変更された場合も含む)には、オリジナルの英文ページの情報を優先して下さい。
-【注意】------------
Updateを適用してColdFusionが(自動で)再起動された後から、IIS/Apacheを経由した.cfmや.cfcリクエストがすべて「HTTP 403」エラーとなります。
HTTPステータス 403 - Forbidden
Type ステータスレポート
説明 The server understood the request but refuses to authorize it.
そのため、Updateの適用が完了した後、Webサーバーコネクタの「アップグレード」または「再定義」を必ず行ってください。再定義後も引き続きエラー「HTTP403エラー」「HTTP503エラー」が発生する場合は、Update14ページ(日本語サイト)の「トラブルシューティング」に沿った確認・対応を行ってください
例えば、「HTTP 503エラー」が引き続き発生する場合、[cf_root]/config/wsconfig/1/mod_jk.logに下記のようなエラーが発生する場合
[Thu Mar 19 15:05:59 2020] [5679:140579321817216] [info] ajp_connect_to_endpoint
::jk_ajp_common.c (1124): (cfusion) Failed opening socket to (::1:8016) (errno=1
11)
[Thu Mar 19 15:05:59 2020] [5679:140579321817216] [error] ajp_send_request::jk_a
jp_common.c (1784): (cfusion) connecting to backend failed. Tomcat is probably n
ot started or is listening on the wrong port (errno=111)
「トラブルシューティング」の内容に従い、① address="::1" を追加するか / ②workers.properties の worker.cfusion.host=localhost を worker.cfusion.host=127.0.0.1に変更します(どちらの方法でも 503エラーを回避できる模様ですが、もしも片方の方法でうまくいかない場合は、もう一方の方法をお試しください)
①
<Connector ... port="8016" protocol="AJP/1.3" ... secret="(ランダムな値)" tomcatAuthentication="false" address="::1" />
addressを追加した場合は、変更を反映するために、ColdFusionを再起動してください
②
workers.properties ファイルは、[cf_root/config/wsconfig/内の数字フォルダの中に作成されています。
worker.cfusion.host=localhost の値を 127.0.0.1 に変更してください
worker.cfusion.hostの変更を反映するために、Apacheの再起動を行ってください
-----------------
2020年3月17日(US時間)に ColdFusion 2016 Update 14 が公開されました。このアップデートは、メーカーで確認された重要なセキュリティの問題(優先度2)の修正が行われています。
(参考⇒メーカーの公式ブログの投稿)
- Update 14では、
ColdFusionとIIS/Apacheとの接続コネクタ(AJP)の修正が行われています。- AJPコネクタは、ローカル(127.0.0.1または:: 1)からの接続のみ有効となります。WebサーバーとColdFusionサーバーを別サーバーに分離している場合は、AJPコネクタの設定にaddress属性の指定が必要です。詳しくはUpdateページ(日本語サイト)の「Web サーバーと ColdFusion インスタンスが異なるマシンで実行されている場合」に沿った確認・対応を行ってください
- AJPコネクタの設定にsecretが追加され、ランダムな値が指定されます
---------------
- ColdFusion 2016 Update 14 について(日本語サイト):
https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2016-update-14.html
- ColdFusion 2016 Update Release notes (英語サイト) :
https://helpx.adobe.com/coldfusion/release-note/coldfusion-2016-updates-release-notes.html- 日本語ページ(翻訳されるまでに時間が掛かる場合があります)
※上記の「ColdFusion 2016 Update 14 について」の 「注意:(日本語サイトが公開されていない場合は、Update11の注意)」に説明がありますが、Update 7以降に対応したセキュリティに対応するため、JDK(Server JRE) 8u121以降に切り替え(最新のJDK/JREへのアップデートを推奨)と記載されています。下記のFAQ記事を参考に、使用するJVMを変更下さい。
(ColdFusionが使用するJVMを変更する方法について(更新))
アップデートの際の注意点
- Update14を適用し、ColdFusionが自動的に再起動された後、IIS/Apacheを経由した.cfmや.cfcのリクエストは
「HTTPステータス 403 - Forbidden」エラーとなるため、Webサーバー接続コネクタの「アップグレード」または「再定義」が必要です- Update 13を適用し、Webサーバー接続コネクタも更新済みの場合
- 接続コネクタの
「アップグレード」を行ってください
- 接続コネクタの
- Update 12以前の環境からUpdate 14を適用する場合、または、Update 13は適用済みだけれどもWebサーバー接続コネクタを更新していなかった場合
- 接続コネクタの
「再定義(一旦コネクタを削除し、再登録)」を行ってください。
webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
※参考記事「ColdFusionクリニック」
http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html
【注意】コネクタ関連に独自の修正や設定変更等を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定のバックアップを置くことが可能になりましたので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。- 攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態でも外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用(経由)した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行いません
- 接続コネクタの
- Update 13を適用し、Webサーバー接続コネクタも更新済みの場合
- ColdFusion Administratorから Update 14をインストールする場合は、(Update11にて差し替えられた証明書を利用するため)Update 11~13 がインストールされている必要があります。それ以前のUpdateからUpdate 14に更新される場合は、一旦 Update 11を適用頂くか、手動(Update 14のファイルをダウンロードしコマンド実行)でUpdate 14をインストールしてください
(手動で Update を適用する場合の参考情報)
http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/cfupd-manually/
- 既に AJP に対する防御として、requiredSecret の設定を追加している場合、(英語サイトの情報と異なり)requiredSecret の設定はそのままに secret の設定が追加され、別のランダム値が指定される模様です。その後はsecretの設定が優先されるようですので、コネクタの更新(アップグレードまたは再定義)を行ってください。
アップデートのポイント
- このアップデートは、ColdFusion 2016 Update 1~13の修正も含まれた累積アップデートとなります。Update 10ではセキュリティ修正に伴うファイルアップロードの制限の追加、Update 11では、一部モジュールのリモート呼び出し機能の無効化などが行われております。いくつかのUpdateをスキップしてUpdate 13を適用する場合は、スキップするUpdateの影響についても確認してください
- ColdFusion 2016 アップデート 13 についての参考情報
- ColdFusion 2016 アップデート 12 についての参考情報
- ColdFusion 2016 アップデート 11 についての参考情報
- ColdFusion 2016 アップデート 10 についての参考情報
- ColdFusion 2016 Update 10以降を適用すると、
ファイルをアップロードする処理において”新たに追加されたブラックリスト”に指定されている拡張子のアップロードを制限する機能が加わります。また、デフォルトで次に紹介する拡張子がブラックリストに掲載されます。詳しくは、リンク先のColdFusion 2016 Update10のページをご確認ください
- ColdFusion 2016 Update 10以降を適用すると、
- ColdFusion 2016 アップデート 9 についての参考情報
- Oracle Java 11をサポートします。記事作成時点で、アドビ社のサイトよりダウンロード可能な Oracle Java 11 をColdFusion 2016にご利用いただけます。Java 11のダウンロードは、リンク先のページの「Java 11 のサポート。Java 11 と Java 8 のインストーラーをダウンロードする方法については、「ダウンロード」を参照してください。」に案内がございます
- 本番環境へのアップデータを適用前に、テスト環境等でパッチの適用方法の確認とパッチ適用後の十分な動作確認を行って下さい
- ColdFusion Administratorを利用した更新を行う場合の一般的な手順や注意事項等については、下記のFAQをご参考ください
アップデートを適用する手順の参考情報 - サーバー自動ロックダウンを使用してサーバーがロックダウンしている環境や、インターネットに接続が制限される社内プロキシ内の環境などでColdFusion Administratorの更新機能が使えない場合、Update 10以前からUpdate 14を直接適用したい場合は、手動のアップデートを適用する方法をお試しください。詳しくは、下記の記事をご参考下さい
手動でアップデータを適用する際の注意事項 - ColdFusion Administrator の [サーバー更新]-[更新] 画面で、アップデートの [ダウンロードとインストール] を行う際に「[cf_root]/cfusion(インスタンス名)/hf-updates/hf-2016-0014-318307.propertiesファイルの書き込みを行う際に、エラーが発生しました」というエラーが発生した場合は、[cf_root]/cfusion(インスタンス名)/hf-updatesフォルダに書き込み権限があることを確認して下さい
- ColdFusion Administratorを利用した更新を行う場合の一般的な手順や注意事項等については、下記のFAQをご参考ください
- ColdFusion 2016以降、ColdFusion Administrator(/CFIDE/administrator)へのアクセスは同梱のWebサーバー(デフォルトポート8500)で行います。同梱のWebサーバーのセキュリティを高める(SSL等)方法などは、ColdFusion 2018 の サーバーの自動ロックダウンガイドに設定例が紹介されております。
- Java 1.8 環境上での ODBC Socket の動作に関する修正は、Update 2で行われています。詳しくは下記をご覧ください。
- http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/cf-securelink-servicecodepage/
- ODBC Socketを使用した接続は、ColdFusin 2016以降は既にメーカーサポート外の機能となっておりますが、下位互換性のため、機能が残されています。
記事公開日:2020年03月19日
最終更新日:2020年09月29日
Sample Modal Window
This is just a sample…
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.
Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.