ColdFusion 2018 アップデート 16 についての参考情報

1. Home
2. » よくある質問(FAQ)
3. » ColdFusion2018情報
4. » ColdFusion 2018 アップデート 16 についての参考情報

※本ページは、メーカーサイトの情報を部分的に抜粋して紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合（英文ページで情報が追加・変更された場合も含む）には、オリジナルの英文ページの情報を優先して下さい。

米国時間 2023年3月14日に ColdFusion 2018 Update 16が公開されました。このアップデートは、セキュリティ情報  APSB23-25 （優先度1）の修正が含まれます。
※APSB23-25で修正されている脆弱性の一つ（CVE-2023-26360）については、Adobe ColdFusionに対する限定的な攻撃で、悪用の報告があったことをアドビは認識しています
※※また、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA: Cybersecurity and Infrastructure Security Agency)の「Known Exploited Vulnerabilities Catalog」にColdFusionの脆弱性が追加され、この脆弱性がサイバー 犯罪者によって悪用されていることが確認されているとのことです。
※※※Web Application Firewall (WAF)サービス提供会社の「ブログ」でも、この脆弱性による悪用を試みるアクセスがあったとの情報が掲載されています。
※※※※非公式ですが、悪用に対する緩和策についての情報が「こちら」に掲載されています。

• Updateリリースに関するアナウンス（Adobe Support Community）
• ColdFusion 2018 Update 16 について （日本語サイトが公開されるまでは英語サイトにリダイレクトされます） ：
  https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2018-update-16.html
• ColdFusion 2018 Update Release notes （英語サイト） ：
  https://helpx.adobe.com/coldfusion/release-note/coldfusion-2018-updates-release-notes.html
  • 日本語サイト（翻訳されるまでに時間が掛かる場合があります）
    • https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2018-updates.html

アップデートの際のWebサーバー接続コネクタの注意点

• Update7以前の環境からUpdate16を適用した場合、IIS/Apacheを経由した.cfmや.cfcのリクエストは「HTTPステータス 403 - Forbidden」エラーとなるため、それらの方はWebサーバー接続コネクタの「アップグレード」または「再定義」が必要です
  • Update 12～15からUpdate 16へ更新した方は、コネクタの「アップグレード」は不要です
  • Update 8～11から Update 16へ更新した方、または、Update 12～15を適用した時に接続コネクタのアップグレードを行わなかった方は、コネクタの「アップグレード」を行ってください
    
  • Update 6～7からUpdate 16へ更新した場合も、接続コネクタの「アップグレード」を行ってください
  • Update 5以前の環境からUpdate 16を適用した場合、または、Update 6～7を適用済みだがその時に接続コネクタの再設定を行わなかった方は、接続コネクタの「再定義（一旦コネクタを削除し、再登録）」を行ってください。
    • webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
      ※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
      https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
      ※参考記事「ColdFusionクリニック」
      http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html
       
    • 攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態でも外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行いません
       
    • Linux / Mac OS版 ColdFusion 2018 と Apache を接続した環境において、長時間のリクエストの途中でApacheがクラッシュを起こしブラウザへの応答が中断する不具合が確認されています。下記のFAQ記事の内容に従い、設定を変更してください
      • ColdFusion 2018 とApacheの環境で長時間リクエストでエラーが発生する
      （コネクタを再定義した際に、「ハートビート間隔を0秒」に設定していない場合は再びこの不具合に遭遇するため、下記のFAQの内容に従い再度設定を変更してください）
    • 【注意】コネクタ関連に独自の修正や設定変更等を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定のバックアップを置くことが可能になりましたので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。
• 既に AJP に対する防御として、requiredSecret の設定を追加している場合、（英語サイトの情報と異なり）requiredSecret の設定はそのままに secret の設定が追加され、別のランダム値が指定される模様です。その後はsecretの設定が優先されるようですので、コネクタの更新（アップグレードまたは再定義）を行ってください。

アップデートのポイント

• このアップデートは、ColdFusion 2018 Update 1～15の修正も含まれた累積アップデートとなります。Update 3ではセキュリティ修正に伴うファイルアップロードの制限の追加、Update 8では、AJPコネクタのセキュリティ強化などが行われております。いくつかのUpdateをスキップしてUpdate 16を適用する場合は、スキップするUpdateの影響についても確認してください
  • ColdFusion 2018 アップデート 15 についての参考情報
    • 脆弱性の修正により Administratorでログファイルの閲覧ができなくなりました。
  • ColdFusion 2018 アップデート 14 についての参考情報
    • 複数のバグフィックスが行われ、Tomcatのマイナーバージョンアップが含まれます。
  • ColdFusion 2018 アップデート 13 についての参考情報
    • Log4j2ライブラリの更新が含まれていますが、さらに新しいバージョンがリリースされているため、アップデート13ではなく14以降を適用してください。
  • ColdFusion 2018 アップデート 12についての参考情報
    • 複数のバグフィックスが行われ、Tomcatのマイナーバージョンアップが含まれます。また、クエリオブクエリの不具合が確認されているため、アップデート14以降を適用してください。（クエリオブクエリの不具合については、ページ先頭の【注意３】と【注意４】をご確認ください）
  • ColdFusion 2018 アップデート 11 についての参考情報
    • 複数のバグフィックスが行われています
  • ColdFusion 2018 アップデート 10 についての参考情報
    • carファイルに関するセキュリティガイドが紹介されています
  • ColdFusion 2018 アップデート 9 についての参考情報
    • ColdFusionのセッションCookieや<CFCookie>に samesite が追加されました
  • ColdFusion 2018 アップデート 8 についての参考情報
    • Update 8では、AJPコネクタがローカル（127.0.0.1または:: 1）からの接続のみ有効となり、secretが付加されるようになりました
  • ColdFusion 2018 アップデート 7 についての参考情報
    • Update 7は Windows環境で確認されたセキュリティ問題の修正が行われています
  • ColdFusion 2018 アップデート 6 についての参考情報
    • Update 6は Update 5のリリースに伴い生じた問題の修正が行われています
  • ColdFusion 2018 アップデート 5 についての参考情報
    • Update 5ではアロー関数など新しい関数の実装・最新OSのサポート・ライブラリや内部エンジンTomcatのバージョンアップ・コネクタの改修・セキュリティ問題の修正などが行われましたが、リリース後に複数の問題が確認されたため、それらを修正した Update 6がリリースされています。そのため Update 5は適用しないことを推奨します
  • ColdFusion 2018 アップデート 4 についての参考情報
    • Update 4では、一部モジュールのリモートアクセスの制限・セキュリティ問題の修正に加えて ColdFusion Administratorで使用する証明書の更新が行われています。Update 4未満の環境から最新の Update を適用する際は、一旦 Update 4を適用してください
  • ColdFusion 2018 アップデート 3 についての参考情報
    • ColdFusion 2018 Update 3以降を適用すると、ファイルをアップロードする処理において”新たに追加されたブラックリスト”に指定されている拡張子のアップロードを制限する機能が加わります。また、デフォルトで次に紹介する拡張子がブラックリストに掲載されます。
  • ColdFusion 2018 アップデート 2 についての参考情報
    • Oracle Java 11をサポートします。記事作成時点で、アドビ社のサイトよりダウンロード可能な Oracle Java 11 をColdFusion 2018にご利用いただけます。Java 11のダウンロードは、リンク先のページの「Java 11 のサポート。Java 11 と Java 8 のインストーラーをダウンロードする方法については、「ダウンロード」を参照してください。」に案内がございます

• 本番環境へのアップデータを適用前に、テスト環境等でパッチの適用方法の確認とパッチ適用後の十分な動作確認を行って下さい
  • ColdFusion Administratorを利用した更新を行う場合の一般的な手順や注意事項等については、下記のFAQをご参考ください
    アップデートを適用する手順の参考情報
  • サーバー自動ロックダウンを使用してサーバーがロックダウンしている環境や、インターネットに接続が制限される社内プロキシ内の環境などでColdFusion Administratorの更新機能が使えない場合、Update なし～Update 3の環境から直接Update 16を適用したい場合は、手動のアップデートを適用する方法をお試しください。詳しくは、下記の記事をご参考下さい
    手動でアップデータを適用する際の注意事項
• ColdFusion 2016以降、ColdFusion Administrator（/CFIDE/administrator）へのアクセスは同梱のWebサーバー（デフォルトポート8500）で行います。同梱のWebサーバーのセキュリティを高める（SSL等）方法などは、ColdFusion 2018 の サーバーの自動ロックダウンガイドに設定例が紹介されております。
  • lockdown guide
    https://www.adobe.com/content/dam/acom/en/products/coldfusion/pdfs/coldfusion-2018-lockdown-guide.pdf

記事公開日：2023年03月15日
最終更新日：2023年04月07日