※本ページは、メーカーサイトの情報を部分的に抜粋して紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合(英文ページで情報が追加・変更された場合も含む)には、オリジナルの英文ページの情報を優先して下さい。
2021.12.22 追記
log4j2 については、さらに 2021年12月18日に新たな脆弱性のCVE-2021-45105が公開されました。ColdFusionではこの脆弱性も影響は確認されていませんが、ベストプラティクスとして ColdFusion 2018 Update 13を対象に、Log4j2 ライブラリを 2.17.0 にアップグレードするためのパッチを公開しました。2.17.0への差し替えをご希望の方は、下記に参考情報ページを公開していますので Update 13を適用後、対応を行ってください。
-【注意1】------------
ColdFusion Administratorから Update 13をインストールする場合は、(Update4にて差し替えられた証明書を利用するため)Update 4 ~ 12 がインストールされている必要があります。Update 4未満の環境からUpdate 13に更新される場合は、一旦 Update 4を適用して頂くか、手動(Update 13のファイルをダウンロードしコマンド実行)でUpdate 13を直接適用してください
(手動で Update を適用する場合の参考情報)
http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/cfupd-manually/
-【注意2】------------
Update 7以前の環境からUpdate 13を適用した場合、Update 13を適用してColdFusionが(自動で)再起動された直後から、IIS/Apacheを経由した.cfmや.cfcリクエストがすべて「HTTP 403」エラー
となります。
HTTPステータス 403 - Forbidden
Type ステータスレポート
説明 The server understood the request but refuses to authorize it.
そのため、Update 13の適用が完了した後、Webサーバーコネクタの「アップグレード」または「再定義」を必ず行ってください。また、Apacheと接続を行っている場合には、HTTP 503エラーも発生する場合があります。どちらの場合も Update8の参考情報をご確認ください。
-【注意3】------------
一つ前のUpdate 12をインストールし、「クエリオブクエリ不具合に対する個別パッチ」の個別パッチを適用されている環境をUpdate 13にすると、個別パッチはbackupフォルダに移動されてしまい、パッチが外れてしまいます。
Update 13では問題は修正されていないため、個別パッチを元の場所に戻す必要があります。下記のフォルダにバックアップされていますので、それを再び所定の配置先にもどしてください
(注意)バックアップされた場所にある chf201800xx.jarは古いUpdateファイルです。このファイルは元の場所に戻さないでください
(誤って元の場所に戻してしまうとUpdateが一致しなくなり誤動作の原因となります)。
-【注意4】------------
Update 11以前の環境からUpdate 13を適用した際は、一つ前のUpdate 12で確認された下記の不具合に遭遇する場合があります。
上記の問題に遭遇される方(それら機能を使用されている方)は、Update 13適用後に上記のFAQの内容に沿って、個別パッチを適用してください。
-----------------
米国時間 2021年12月17日に ColdFusion 2018 Update 13が公開されました。このアップデートは、log4j2関連の脆弱性(CVE-2021-44228 および CVE-2021-45046)を解決します。このUpdateを適用すると、log4j2関連のjarが2.16.0にアップグレードされます。
「HTTPステータス 403 - Forbidden」
エラーとなるため、それらの方はWebサーバー接続コネクタの「アップグレード」または「再定義」が必要です
コネクタの「アップグレード」を行ってください
「アップグレード」
を行ってください「再定義(一旦コネクタを削除し、再登録)」
を行ってください。
長時間のリクエストの途中でApacheがクラッシュを起こしブラウザへの応答が中断する
不具合が確認されています。下記のFAQ記事の内容に従い、設定を変更してください
(コネクタを再定義した際に、「ハートビート間隔を0秒」に設定していない場合は再びこの不具合に遭遇するため、下記のFAQの内容に従い再度設定を変更してください)
【注意】
コネクタ関連に独自の修正や設定変更等を行っている
場合は、接続コネクタの再定義によりそれらの値が初期値に戻ります
ので、コネクタの再登録後に変更設定をやり直してください。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定のバックアップを置くことが可能になりましたので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。【注意3】と【注意4】
をご確認ください)ファイルをアップロードする処理
において”新たに追加されたブラックリスト”に指定されている拡張子のアップロードを制限する機能が加わります。また、デフォルトで次に紹介する拡張子がブラックリストに掲載されます。記事公開日:2021年12月19日
最終更新日:2021年12月22日
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.
Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.