ColdFusion 2018 アップデート 7 についての参考情報

1. Home
2. » よくある質問(FAQ)
3. » ColdFusion2018情報
4. » ColdFusion 2018 アップデート 7 についての参考情報

※本ページは、メーカーサイトの情報を部分的に抜粋して紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合（英文ページで情報が追加・変更された場合も含む）には、オリジナルの英文ページの情報を優先して下さい。

－－－－－－－－－－－－－－－

2019年12月10日(US時間)に ColdFusion 2018 Update 7 が公開されました。このアップデートは、メーカーで確認された重要なセキュリティの問題（優先度2）の修正が含まれています。
（参考⇒メーカーの公式ブログの投稿）

• この Update 7で修正されるセキュリティの問題は Windows版のみ影響を受けます。Unix, Mac OSでは、このセキュリティの問題は該当しないため、Update 6 から Update 7へと更新する必要はありません
• Windows版 ColdFusion 2018の環境でも、Update 6 の適用に加えてサーバー自動ロックダウンを使用してサーバーがロックダウンしている環境であれば、このセキュリティ問題の影響は受けないため、Update 6 から Update 7へと更新する必要はありません
   
• この Update 7では、他に一つのバグの修正が行われています
  • ColdFusion Administratorの「サーバー更新」ページで、「使用できるアップデート」の各Updateで「概要（Description）」の文字数が多い場合、「ダウンロード」・「ダウンロードとインストール」などのボタンが隠れてしまう
     
• ColdFusion Administratorから Update 7をインストールする場合は、（Update4にて差し替えられた証明書を利用するため）Update 4 ～ 6 がインストールされている必要があります。Update 4未満の環境からUpdate 7に更新される場合は、一旦 Update 4を適用頂くか、手動（Update 7のファイルをダウンロードしコマンド実行）でUpdate 7をインストールしてください
  （手動で Update を適用する場合の参考情報）
  http://cfassociates.samuraiz.co.jp/index.cfm/faq/cftech/cfupd-manually/

－－－－－－－－－－－－－－－

• ColdFusion 2018 Update 7 について：
  https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2018-update-7.html
   
• ColdFusion 2018 Update Release notes （英語） ：
  https://helpx.adobe.com/coldfusion/release-note/coldfusion-2018-updates-release-notes.html
  • 日本語ページは翻訳されるまでに時間が掛かる場合があります
    • https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2018-updates.html

アップデートのポイント

• このアップデートは、ColdFusion 2018 Update 1～6の修正も含まれた累積アップデートとなります。Update 3ではセキュリティ修正に伴うファイルアップロードの制限の追加、Update 4では、一部モジュールのリモート呼び出し機能の無効化などが行われております。いくつかのUpdateをスキップしてUpdate 7を適用する場合は、スキップするUpdateの影響についても確認してください
  • ColdFusion 2018 アップデート 6 についての参考情報
    • Update 6は Update 5のリリースに伴い生じた問題の修正が行われています
  • ColdFusion 2018 アップデート 5 についての参考情報
    • Update 5ではアロー関数など新しい関数の実装・最新OSのサポート・ライブラリや内部エンジンTomcatのバージョンアップ・コネクタの改修・セキュリティ問題の修正などが行われましたが、リリース後に複数の問題が確認されたため、それらを修正した Update 6がリリースされています。そのため Update 5は適用しないことを推奨します
  • ColdFusion 2018 アップデート 4 についての参考情報
    • Update 4では、一部モジュールのリモートアクセスの制限・セキュリティ問題の修正に加えて ColdFusion Administratorで使用する証明書の更新が行われています。Update 4未満の環境から最新の Update を適用する際は、一旦 Update 4を適用してください
  • ColdFusion 2018 アップデート 3 についての参考情報
    • ColdFusion 2018 Update 3以降を適用すると、ファイルをアップロードする処理において”新たに追加されたブラックリスト”に指定されている拡張子のアップロードを制限する機能が加わります。また、デフォルトで次に紹介する拡張子がブラックリストに掲載されます。
  • ColdFusion 2018 アップデート 2 についての参考情報
    • Oracle Java 11をサポートします。記事作成時点で、アドビ社のサイトよりダウンロード可能な Oracle Java 11 をColdFusion 2018にご利用いただけます。Java 11のダウンロードは、リンク先のページの「Java 11 のサポート。Java 11 と Java 8 のインストーラーをダウンロードする方法については、「ダウンロード」を参照してください。」に案内がございます

• 本番環境へのアップデータを適用前に、テスト環境等でパッチの適用方法の確認とパッチ適用後の十分な動作確認を行って下さい
  • ColdFusion Administratorを利用した更新を行う場合の一般的な手順や注意事項等については、下記のFAQをご参考ください
    アップデートを適用する手順の参考情報
  • サーバー自動ロックダウンを使用してサーバーがロックダウンしている環境や、インターネットに接続が制限される社内プロキシ内の環境などでColdFusion Administratorの更新機能が使えない場合、Update なし～Update 3の環境から直接Update 7を適用したい場合は、手動のアップデートを適用する方法をお試しください。詳しくは、下記の記事をご参考下さい
    手動でアップデータを適用する際の注意事項
  • ColdFusion Administrator の [サーバー更新]-[更新] 画面で、アップデートの [ダウンロードとインストール] を行う際に「[cf_root]/cfusion(インスタンス名)/hf-2018-00007-316715.properties ファイルの書き込みを行う際に、エラーが発生しました」というエラーが発生した場合は、[cf_root]/cfusion(インスタンス名)/hf-updatesフォルダに書き込み権限があることを確認して下さい
• Update 7ではWebサーバーとの接続コネクタの更新はありません。そのため、既にUpdate 6を適用して、WebサーバーとColdFusion 2018との接続コネクタも新しいバージョンに変更済みの場合は、接続コネクタの作業は不要です。Update 6未満の環境からUpdate 7を適用する場合、または、Update 6は適用済みだけれどもWebサーバーコネクタを更新していなかった場合は、Update 7を適用後、接続コネクタ再定義（一旦コネクタを削除し、再登録）してください。
  • webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
    ※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
  • https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
    ※参考記事「ColdFusionクリニック」
    http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html
  • 【注意】コネクタ関連に独自の修正や設定変更等を行われている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定のバックアップを置くことが可能になりましたので、該当される方は、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。
  • Linux版 ColdFusion 2018 と Apache を接続した環境において、長時間のリクエストの途中でApacheがクラッシュを起こしブラウザへの応答が中断する不具合が確認されています。下記のFAQ記事の内容に従い、設定を変更してください
    • ColdFusion 2018 とApacheの環境で長時間リクエストでエラーが発生する
  • Update 6で更新されたコネクタには、Update 5で行われたセキュリティ強化は引き続き有効化されていますが、 Update 5でブロックされた ”/CFIDE/administrator/” 等の一部URLに対するアクセスブロック(404エラー)は解除されています。^（※1）。
    • ^（※1）攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態でも外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行いません
       
• ColdFusion 2016以降、ColdFusion Administrator（/CFIDE/administrator）へのアクセスは同梱のWebサーバー（デフォルトポート8500）で行います。同梱のWebサーバーのセキュリティを高める（SSL等）方法などは、ColdFusion 2018 の サーバーの自動ロックダウンガイドに設定例が紹介されております。
  • lockdown guide
    https://www.adobe.com/content/dam/acom/en/products/coldfusion/pdfs/coldfusion-2018-lockdown-guide.pdf

記事公開日：2019年12月11日
最終更新日：2019年12月11日