ColdFusion 2021 アップデート 20 についての参考情報

【注意１】

このUpdateでは、CFCでリモートからのアクセスを許可しているメソッド（access="remote"を指定しているメソッド）の引数の定義の整合性が厳しくなったほか、スケジュールタスクで実行結果をパブリッシュ（ファイルに書き出し）している場合は書き出し先のパスをpathfilter.jsonファイルに指定する必要があるなどの重要な変更があります。

1. CFCでリモートからのアクセスを許可しているメソッド内で引数（パラメーター）を使用する場合、以下の変更があります
   • cfargumentでの引数の定義や関数シグネチャ内での定義が必要となりました
   • 定義された引数の数よりも多い引数を渡された場合は、エラーが発生するようになりました
   • 以前の動作に戻す JVM引数が新たに追加されました
     • 「-Dcoldfusion.runtime.remotemethod.matchArguments=false」（詳しくは↑Update 20についてのリンク先で確認してください）
        
2. スケジュールタスクの設定にある「パブリッシュ」の『 □出力をファイルに保存 』を有効にして実行結果をファイルに書き出しているタスクがある場合は、書き出し先のパスをpathfilter.jsonファイルに指定する必要があります
   • [cf_root]/{インスタンス(cfusion等)}lib 内に、新たに追加されたpathfilter.jsonファイルをメモ帳等テキストエディタで開き、"schedulerexecutionpaths": "" にパスを指定する必要があります
     • （例）スケジュールのタスクの実行結果のパブリッシュをC:\temp\output.txt に書き出している場合
       「"schedulerexecutionpaths": "C:/temp/*;"」と指定します
     • 指定したパスの大文字小文字が区別されるようです。上記の指定を行った後、ColdFusion Administratorのスケジュールタスクの設定でパブリッシュを「c:/temp/output.txt」や「C:/Temp/output.txt」と指定した場合、エラーが発生します
       • (×)タスクをスケジュールする際に、エラーが発生しました。
The specified path: C:/Temp/output.txt is not allowed for scheduled tasks.To allow it, whitelist the path in cf-root/lib/pathfilter.json against key schedulerexecutionpaths.
          
3. システムプローブ機能（ColdFusion 2018以降、非推奨およびサポート外の機能です）で、失敗時のアクションの「プログラムの実行」がデフォルトでブロックされるようになりました。
   • プローブを定義していなければ該当しません。また、プローブを定義していても失敗時のアクションの「プログラムの実行」を指定していなければ影響はありません。
     • Update適用後、プローブの定義画面の「□プログラムの実行」の箇所に「Security Note: Only full absolute paths to trusted executables should be used. Command injection attempts will be blocked.」のメッセージが追加されています
   • もし、この機能を使用している場合は、以前の動作に戻すJVM引数を追加してください（詳しくは↑Update 20についてのリンク先で確認してください）
      
4. cfusion/lib にあるserialfilter.txtファイルが変更されたものに置き換えられます。
   • serialfilter.txtファイルの内容を独自に修正・変更している場合は、Updateを適用した後に、serialfilter.txtファイルに修正・変更をし直してください。
     • それまでのserialfilter.txtが[cf_root]/{インスタンス(cfusion等)}\hf-updates\hf-2021-00020-330407\backup\lib に置かれていますが、そのファイルを上記の場所に上書きするのではなく、cfusion/lib にあるserialfilter.txtにカスタマイズした内容を反映してください。
        
5. Wddxのシリアライズ・デシリアライズの許可リスト（cfserialfilter.txt）を独自に修正・変更している場合は、Updateを適用した後、cfserialfilter.txtファイルがデフォルトの状態に戻されます。
   • バックアップから元に戻してください。
     • [cf_root]\{インスタンス(cfusion等)}\hf-updates\hf-2021-00020-330407\backup\lib 内にファイルがバックアップされます。バックアップされたファイルを、[cf_root]\{インスタンス(cfusion等)}\lib内に置き直してください
        
6. Updateの適用時には、パッケージのキャッシュファイルとColdFusionの.cfmや.cfcファイルのコンパイル後クラスファイルのキャッシュファイルが削除される模様です。
   • ‪Note:
         ‪The hotfix installer will clear the cfclasses ( / /wwwroot/WEB-INF/cfclasses) and Felix cache ( / /bin/felix-cache) by default, for the selected instances only. This ensures proper reloading of updated classes and bundles
   • Update適用後は ColdFusion Administratorにログインして「パッケージマネージャー」画面を開き、コアとパッケージが正しくアップデートされたことを確認してください
     • パッケージがアップデートされなかったり、一部パッケージがアンインストールされてしまった場合は、対象のパッケージのダウンロードに失敗していることが考えられます。ネットワーク環境の確認と、設定（パッケージマネージャー ＞ 設定）画面のパッケージサイトの『サイト URL』が正しく指定されているかを確認してください。
   • こちらでは事象を確認していませんが Update 20 を適用した後、cfpdfタグを使用した処理でエラーが発生するようになり、手動で felix-cache を削除したら解消したとの報告がありました（→投稿コメント）。その他にも問題が発生した場合にfelix-cacheを削除することで解決する場合があるようです。Update適用後に何らかの問題が発生したら、ColdFusionサービスを一旦停止し、[cf_root]/{インスタンス(cfusion等)}/bin 内にある felix-cache を削除してエラーが解消するかをお試しください。

【注意２】

※一つ前のUpdate（2025年4月リリース）で確認された問題で、このUpdateでの発生報告は今のところありませんが、念のためこのUpdateでも情報を記載をしておきます

ColdFusion 2023 Update 11や 2021 Update 17で xalan.jar ライブラリが 2.7.1 から 2.7.3 に更新されました。それ以降のUpdateを適用すると[cf_root]/{インスタンス(cfusion等)}/lib内のxalan.jarが置き換えられますが、Updateをアンインストールをした際に、xalan.jarが元に戻されずに削除されたままになる場合があるようです。

• xalan.jarが削除されると、ColdFusionの起動は行えるものの、一部の機能（例：ColdFusion Administratorの「パッケージマネージャー」の『設定』画面で、[変更を送信]ボタンを押しても真っ白な画面となるだけでログにはクラスが見つからないエラーが出力されます）
  • "Error","http-nio-8514-exec-9","04/28/25","15:43:02","cfadmin","Provider org.apache.xalan.processor.TransformerFactoryImpl not found インクルードまたは処理されたファイルの特定のシーケンス :C:\ColdFusion2021\cfusion\wwwroot\CFIDE\administrator\updates\_settings.cfm, line: 242"
    javax.xml.transform.TransformerFactoryConfigurationError: Provider org.apache.xalan.processor.TransformerFactoryImpl not found
        at java.xml/javax.xml.transform.FactoryFinder.newInstance(FactoryFinder.java:177)
        at java.xml/javax.xml.transform.FactoryFinder.find(FactoryFinder.java:212)
        at java.xml/javax.xml.transform.TransformerFactory.newInstance(TransformerFactory.java:126)
        at coldfusion.server.UpdateService$3.run(UpdateService.java:1113)
        at java.base/java.security.AccessController.doPrivileged(AccessController.java:310)
        at coldfusion.server.UpdateService.store(UpdateService.java:1107)
        at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.base/java.lang.reflect.Method.invoke(Method.java:566)
        at coldfusion.runtime.StructBean.invoke(StructBean.java:509)
        at coldfusion.runtime.CfJspPage._invoke(CfJspPage.java:4438)
        at coldfusion.runtime.CfJspPage._invoke(CfJspPage.java:4290)
        at cf_settings2ecfm615695583._factor2(/CFIDE/administrator/updates/_settings.cfm:242)
        at cf_settings2ecfm615695583._factor3(/CFIDE/administrator/updates/_settings.cfm:165)
        at cf_settings2ecfm615695583._factor10(/CFIDE/administrator/updates/_settings.cfm:157)
        at cf_settings2ecfm615695583.runPage(/CFIDE/administrator/updates/_settings.cfm:1)
• cfspreadsheetの動作などでも問題が発生するようです
  • https://tracker.adobe.com/#/view/CF-4226427
     
• （対応案）
  • Update 20をアンインストールした後のバージョンを確認します
    • 2021 Update 17(2021.0.17.330334)・18(2021.0.18.330341)・19(2021.0.19.330379) の場合は、xalan.jar のバージョン 2.7.3 を[cf_root]/{インスタンス(cfusion等)}/lib内に手動で配置します
    • それよりも前のUpdateの場合は、2.7.1の xalan.jar のバージョン 2.7.1 を[cf_root]/{インスタンス(cfusion等)}/lib内に手動で配置します
  • インターネットで公開されているサイトからダウンロードして、[cf_root]/{インスタンス(cfusion等)}/lib 内に配置します（技術サポートをご契約されている方はサポートにお問い合わせください）
    • https://archive.apache.org/dist/xalan/xalan-j/binaries/
      • xalan.jar のバージョン 2.7.1は「xalan-j_2_7_1-bin-2jars.zip」を、2.7.3は「xalan-j_2_7_3-bin.zip」ダウンロード、解凍し、xalan.jarのみ[cf_root]/{インスタンス(cfusion等)}/lib内にコピーしてください
        • 2.7.1: 1,760,887 バイト、2.7.3: 3,455,761 バイト
        • xalan.jarのバージョンを確認したい場合→こちらの一般ユーザー様の記事を参考にしてください
    • xalan.jar を[cf_root]/{インスタンス(cfusion等)}/lib 内に配置したら、ColdFusion Application Serverサービスを再起動してください
  • 上手くいかない時は、再度 Update をインストールしてください

【注意３】

いくつかのUpdateをスキップしてUpdate 20を適用した際は、過去のUpdate で行われた変更による影響が生じる場合があります。代表的なものを以下に記載しますので、該当される場合は、以前のUpdateの参考情報ページも確認してください。

Update 13: 暗黙のスコープ処理の変更の影響：一部変数の暗黙スコープ処理の変更について
Update 14: 関数のデフォルト暗号アルゴリズムの変更の影響：暗号アルゴリズムのデフォルトの変更について
Update 19: cfencodeを使用して暗号化したソースコード・プリコンパイル済みコードがある場合の影響：Update 19の参考情報ページ

【注意４】

Update 19ではWebサーバーコネクタの更新は行われていませんが、Update 10以前の環境からUpdate 20を適用した際は、Update 20を適用した後、接続コネクタの「再定義（一旦コネクタを削除し、再登録）」を行ってください。
webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
※参考記事「ColdFusionクリニック」
http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html

【注意】コネクタ関連に修正や設定の変更や追加を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください（特にApacheと接続している場合は、cf_scriptsのエイリアスの変更などを mod_jk_vhost.conf に行っていますので、再登録後にその設定を再び反映させるのを忘れないようにしてください）。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定がバックアップされていますので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。

【注意】Apacheとの接続を行っている際は、再定義（一旦コネクタを削除し、再登録）によって、再び 503エラーが発生するようになります。接続コネクタの再定義によりそれらの値が初期値に戻るためです。コネクタの再登録後に変更設定をやり直してください。Webサーバー（Apache等）と接続後、.cfmページのリクエストが503エラーになる

攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行いません

【注意５】
アドビでは、セキュリティへの備えが必要となるサイトでColdFusionを使用する 場合は、ColdFusionが使用するJavaを最新のリビジョンにすることを推奨しています。UpdateにはJavaの更新は含まれないため、Updateとは別にJavaのインストールとColdFusionのJVM設定の変更が必要となります。サポートするJavaのバージョンやインストール方法・JVM設定の変更方法については、以下の FAQ をご確認ください。

ColdFusionがサポートするJavaについて

ColdFusionが使用するJVMを変更する方法について（再更新）

また、アドビでは、ColdFusion セキュリティ ページに概要が記載されているセキュリティ構成設定を確認するとともに、それぞれのロックダウン ガイドを適用することを推奨しています。   

ColdFusion 2021 Lockdown Guide

※記事中の「サーバー自動ロックダウン」インストーラーについては、強力なセキュリティ設定をインストール・ウィザード形式でステップで行っていける半面、「ColdFusionの実行ユーザー」の変更や「ファイルシステムのアクセス許可の変更によりwebルート以下の書き込みの制限」、「Webサーバー設定」の変更など、既存の運用に影響を生じることが考えられます。そのため、実稼働環境に導入する前に、すべての推奨事項を分離されたテスト環境でテストすることが強く推奨されています。

上記のロックダウンガイドに沿って手動で設定を変更していくことなども検討してください。以下のFAQも参考にしてください

サーバーのロックダウンについての参考情報

【注意６】

cfreportのエラーはUpdate 17での修正リストに以下のように補足付きで説明がされています。

ColdFusion（2021 リリース）アップデート 17
より抜粋 
(CF-4212391)
cfreport が正常に機能しません。次のエラーメッセージが表示されます。
行 4、文字 326 にエラーがあります : net.sf.jasperreports.engine.xml.JasperDesignFactory
問題が引き続き断続的に発生する場合は、Felix キャッシュをクリアし、ColdFusion を再起動してください。

Update 17以降でもまれに同じエラーの発生が報告されており、上記の対応（Felixキャッシュのクリア）のみではエラーの解消が不完全な場合がある模様です。
cfreportを使用した際に同じエラーが発生した場合は、以下1. 2.のどちらかの方法にて対応してください

1. 以前に配布された個別パッチを適用する
2. presentationパッケージをアンインストールする

「1.以前に配布された個別パッチを適用する」については、以下のFAQにて紹介している個別パッチを適用する方法となります。

• cfreportタグの実行時のエラーを解消する個別パッチ

Update 20適用後に、新規に↑のパッチを適用する場合は、上記の FAQの内容に沿って作業を行ってください。Update 19までの環境で上記のパッチを適用した後、Update 20を適用した場合は、個別パッチがbackupフォルダに移動しますので、再び元の場所に戻す必要があります。以下の作業を行ってください。

1. Update 20適用後、ColdFusion 2021 Application Serverサービスを停止します
2. cfreportの個別パッチは、Updateのバックアップフォルダに移動しています。以下の場所から個別パッチファイルを見つけてください。
   • [cf_root]/インスタンス(cfusion等)/hf-updates/hf-2021-00020-330407/backup/lib/updates
     • 例　C:\ColdFusion2021\cfusion\hf-updates\hf-2021-00020-330407\backup\lib\updates
3. 個別パッチファイルを元の場所に戻します
   • 戻し先：[cf_root]/インスタンス(cfusion等)/lib/updates
     • 例　C:\ColdFusion2021\cfusion\lib\updates
       • （注意）バックアップされた場所にある chf202100xx.jarは古いUpdateのコアファイルです。このファイルは元の場所に戻さないでください（誤って元の場所に戻してしまうとUpdateが一致しなくなり誤動作の原因となります）
4. ColdFusion 2021 Application Serverサービスを起動します
5. 動作を確認してください

「2. presentationパッケージをアンインストールする」については、原因となっているpresentationパッケージをアンインストールする方法となります。presentationパッケージはColdFusion 2016で非推奨およびサポート外となった主にFlashベースのプレゼンテーションを作成していたcfpresentationタグの機能です。利用実績も無く、このパッケージをアンインストールしても問題は生じないこと、また、「1.以前に配布された個別パッチを適用する」はUpdateを適用するたびに個別パッチを元の場所に戻す必要があるのに対し、こちらの方法はpresentationパッケージを再度インストールしない限り恒久的な対策となります。presentationパッケージのアンインストールは以下の作業を行ってください。

1. ColdFusion Administratorにログインして、「パッケージマネージャー」の画面を開きます
2. 「インストール済みのパッケージ」の項目を展開して、「presentation」パッケージを選択して「アンインストール」を行います
3. アンインストール後、ColdFusion 2021 Application Serverサービスを再起動します

【補足】

• Update 20にはUpdate 1～19の修正も含まれていますので、個々にひとつずつUpdateを適用していく必要はありません。
• Update 20のTomcatのバージョンはUpdate 15～19と同じ 9.0.93 になります。
• Update 20ではadminapi,administrator,document, htmltopdf, pdf, presentation, print, report, schedulerパッケージが更新されます。
• Updateについて、後から補足や既知の問題に関する情報が追加される場合があります。それらは、英語のUpdateページに掲載されますので、Update適用の際には英語ページも確認頂くことをお勧めします。
  https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-20.html