ColdFusion 2021 アップデート 22 についての参考情報

【注意１】

1. Update 20以下から Update 22を適用する場合は、Update 21の【注意１】の1.と2.のパッケージの影響を受ける場合がありますので、確認してください
    
2. Update 20で追加された、cfusion/lib にあるpathfilter.jsonファイルが、このUpdateを適用するとデフォルトの状態に戻されます。
   • Update20～21を適用し、pathfilter.jsonファイルの内容を独自に修正・変更している場合は、このUpdateを適用した後にバックアップからpathfilter.jsonファイルを元の場所に置き直してください。
     • それまでのpathfilter.jsonが[cf_root]/{インスタンス(cfusion等)}/hf-updates/hf-2021-00022-330451/backup/lib 内にファイルがバックアップされます。バックアップされたファイルを[cf_root]/{インスタンス(cfusion等)}/lib内に置き直して ColdFusion を再起動してください。
     • また、ColdFusion Administratorの「サーバーの設定 ＞ スケジュールされたタスク」で、「パブリッシュ」の『 □出力をファイルに保存 』を有効にしているタスクが残っているかを確認してください。
        
3. cfusion/lib にあるserialfilter.txtファイルがUpdateを適用すると置き換えられます。もし、serialfilter.txtファイルの内容を独自に修正・変更している場合は、Updateを適用した後に、以下の作業を行ってください
   • Update 13～15 からUpdate 16を適用した場合
     • バックアップからserialfilter.txtファイルを元の場所に置き直してください
       • それまでのserialfilter.txtが[cf_root]/{インスタンス(cfusion等)}/hf-updates/hf-2021-00022-330451/backup/lib 内にファイルがバックアップされます。バックアップされたファイルを[cf_root]/{インスタンス(cfusion等)}/lib内に置き直して ColdFusion を再起動してください。
   • Update 12 以前から Update 16を適用した場合
     • 配置されたserialfilter.txtファイルに独自の修正・変更をし直してください。
       • それまでのserialfilter.txtが[cf_root]/{インスタンス(cfusion等)}/hf-updates/hf-2021-00022-330451/backup/lib に置かれていますが、そのファイルを元の場所に上書きするのではなく、cfusion/lib にあるserialfilter.txtに独自に修正・変更した内容を再度反映し直して ColdFusion を再起動してください。
          
4. Wddxのシリアライズ・デシリアライズの許可リスト（cfusion/lib にあるcfserialfilter.txt）を独自に修正・変更している場合は、このUpdateを適用するとデフォルトの状態に戻されます。
   • cfserialfilter.txtファイルの内容を独自に修正・変更している場合は、このUpdateを適用した後にバックアップからcfserialfilter.txtファイルを元の場所に置き直してください。
     • それまでのcfserialfilter.txtが[cf_root]/{インスタンス(cfusion等)}/hf-updates/hf-2021-00022-330451/backup/lib 内にファイルがバックアップされます。バックアップされたファイルを、[cf_root]/{インスタンス(cfusion等)}/lib内に置き直して ColdFusion を再起動してください。

【注意２】

Updateをアンインストールしても、一部のパッケージが想定通りのバージョンに下がらない場合があります。

• 例１：Update 21で更新された spreadsheetパッケージ（2021.0.21.330446）が、ダウングレードされない
  • このパッケージがUpdate 5以降で使用可能な状態で公開されています。そのため、アンインストール後のUpdateのバージョンが 6以降の場合、spreadsheetパッケージがダウングレードされません
    • （対策）spreadsheetパッケージを手動でダウングレードし、felix-cacheを削除します
      1. ColdFusion Administratorにログインし、「パッケージマネージャー」画面の「インストール済みのパッケージ」の項目を開き、spreadsheetパッケージを選択します 
      2. 『使用可能なバージョン』で”2021.0.05.330109”か”2021.0.11.330247（ダウングレード後のUpdateが11～20の場合）”を選択して[ダウングレード]ボタンを押します
      3. 「パッケージ spreadsheet が正常にダウングレードされました。」が表示されたらColdFusionを停止します
      4. [cf_root]/{インスタンス(cfusion等)}/bin 内にある felix-cache フォルダをフォルダごと削除します
      5. ColdFusionを起動して、再びColdFusion Administratorにログインして「パッケージマネージャー」画面の「インストール済みのパッケージ」でspreadsheetパッケージのバージョンが2021.0.05.330109か2021.0.11.330247となっていることを確認します
          
• 例２：Update 21で更新された axis と sharepoint パッケージ（2021.0.21.330446）が、ダウングレードされない
  • これらパッケージが Update 5以降で使用可能な状態で公開されています。そのため、アンインストール後のUpdateのバージョンが6以降だった場合、それらパッケージがダウングレードされない場合があります
    • （対策）axisパッケージはsharepointパッケージと依存関係があるためaxis単体ではダウングレードできませんが、sharepointをダウングレードするとaxisも一緒にダウングレードされます
      1. ColdFusion Administratorにログインし、「パッケージマネージャー」画面の「インストール済みのパッケージ」の項目を開き、sharepointパッケージを選択します 
      2. 『使用可能なバージョン』で”2021.0.05.330109”か”2021.0.11.330247（ダウングレード後のUpdateが11～20の場合）”を選択して[ダウングレード]ボタンを押します
      3.  「パッケージ sharepoint をダウングレードしてもよろしいですか？次のパッケージもインストールされます :axis:2021.0.XX.330XXX」とダイヤログが表示されますので、[OK]ボタンを押します
      4. sharepointのインストールに失敗するメッセージが表示されますがそのメッセージは無視してColdFusionを停止します。
      5. ColdFusionを起動すると、内部でsharepointパッケージのインストールが行われますので、起動後、再びColdFusion Administratorにログインして「パッケージマネージャー」画面の「インストール済みのパッケージ」でaxisとsharepointパッケージのバージョンが2021.0.05.330109か2021.0.11.330247となっていることを確認します

【注意３】

いくつかのUpdateをスキップしてUpdate 22を適用した際は、過去のUpdate で行われた変更による影響が生じる場合があります。代表的なものを以下に記載しますので、該当される場合は、以前のUpdateの参考情報ページも確認してください。

Update 13: 暗黙のスコープ処理の変更の影響：一部変数の暗黙スコープ処理の変更について
Update 14: 関数のデフォルト暗号アルゴリズムの変更の影響：暗号アルゴリズムのデフォルトの変更について
Update 19: cfencodeを使用して暗号化したソースコード・プリコンパイル済みコードがある場合の影響：Update 19の参考情報ページ
Update 20: CFCでリモートからのアクセスを許可しているメソッド（access="remote"を指定しているメソッド）の引数の定義の整合性が厳しくなったほか、スケジュールタスクの設定で実行結果をパブリッシュ（ファイルに書き出し）を有効にしている場合は書き出し先のパスをpathfilter.jsonファイルに指定する必要があるなどの影響：Update 20の参考情報ページ
Update 21: 多くのパッケージやライブラリ・Tomcatエンジンが更新されています。spreadsheetの処理を行っている場合やcfmailを使用している場合は注意が必要です：Update 21の参考情報ページ
 

※過去のUpdateで、パッケージが更新されたことによってUpdate適用後にエラーが発生した報告がありました。このUpdateを適用した際に以下のようなエラーが発生した場合は、【注意１】の1.に記載したキャッシュの削除を行うことで解消されます。
　・Enterprise版でOracle の処理でエラー、データソースの設定で接続確認が行えない等（Update 17でのOracleパッケージの更新が影響）
　・cfpdfや一部ドキュメント系の処理でエラーが発生（Update 20でのpdfパッケージや、document, htmltopdfパッケージの更新が影響）
　・cfmailタグの処理でエラーが発生（Update 21以降をインストールした直後の再起動は問題がないが、次の再起動後にエラーが発生します）

【注意４】

Update 22ではWebサーバーコネクタの更新は行われていませんが、Update 10以前の環境からUpdate 22を適用した際は、Update 22を適用した後、接続コネクタの「再定義（一旦コネクタを削除し、再登録）」を行ってください。
webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
※参考記事「ColdFusionクリニック」
http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html

【注意】コネクタ関連に修正や設定の変更や追加を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください（特にApacheと接続している場合は、cf_scriptsのエイリアスの変更などを mod_jk_vhost.conf に行っていますので、再登録後にその設定を再び反映させるのを忘れないようにしてください）。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定がバックアップされていますので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。

【注意】Apacheとの接続を行っている際は、再定義（一旦コネクタを削除し、再登録）によって、再び 503エラーが発生するようになります。接続コネクタの再定義によりそれらの値が初期値に戻るためです。コネクタの再登録後に変更設定をやり直してください。Webサーバー（Apache等）と接続後、.cfmページのリクエストが503エラーになる

攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行いません

【注意５】
アドビでは、セキュリティへの備えが必要となるサイトでColdFusionを使用する 場合は、ColdFusionが使用するJavaを最新のリビジョンにすることを推奨しています。UpdateにはJavaの更新は含まれないため、Updateとは別にJavaのインストールとColdFusionのJVM設定の変更が必要となります。サポートするJavaのバージョンやインストール方法・JVM設定の変更方法については、以下の FAQ をご確認ください。

ColdFusionがサポートするJavaについて

ColdFusionが使用するJVMを変更する方法について（再更新）

また、アドビでは、ColdFusion セキュリティ ページに概要が記載されているセキュリティ構成設定を確認するとともに、それぞれのロックダウン ガイドを適用することを推奨しています。   

ColdFusion 2021 Lockdown Guide

※記事中の「サーバー自動ロックダウン」インストーラーについては、強力なセキュリティ設定をインストール・ウィザード形式でステップで行っていける半面、「ColdFusionの実行ユーザー」の変更や「ファイルシステムのアクセス許可の変更によりwebルート以下の書き込みの制限」、「Webサーバー設定」の変更など、既存の運用に影響を生じることが考えられます。そのため、実稼働環境に導入する前に、すべての推奨事項を分離されたテスト環境でテストすることが強く推奨されています。

上記のロックダウンガイドに沿って手動で設定を変更していくことなども検討してください。以下のFAQも参考にしてください

サーバーのロックダウンについての参考情報

【注意６】

cfreportのエラーはUpdate 17での修正リストに以下のように補足付きで説明がされています。

ColdFusion（2021 リリース）アップデート 17
より抜粋 
(CF-4212391)
cfreport が正常に機能しません。次のエラーメッセージが表示されます。
行 4、文字 326 にエラーがあります : net.sf.jasperreports.engine.xml.JasperDesignFactory
問題が引き続き断続的に発生する場合は、Felix キャッシュをクリアし、ColdFusion を再起動してください。

Update 17以降でもまれに同じエラーの発生が報告されており、上記の対応（Felixキャッシュのクリア）のみではエラーの解消が不完全な場合がある模様です。
現時点でUpdate 22でエラーの報告はありませんが、cfreportを使用した際に同じエラーが発生した場合は、以下1. 2.のどちらかの方法にて対応してください

1. 以前に配布された個別パッチを適用する
2. presentationパッケージをアンインストールする

「1.以前に配布された個別パッチを適用する」については、以下のFAQにて紹介している個別パッチを適用する方法となります。

• cfreportタグの実行時のエラーを解消する個別パッチ

Update 20適用後に、新規に↑のパッチを適用する場合は、上記の FAQの内容に沿って作業を行ってください。Update 19までの環境で上記のパッチを適用した後、Update 20を適用した場合は、個別パッチがbackupフォルダに移動しますので、再び元の場所に戻す必要があります。以下の作業を行ってください。

1. Update 20適用後、ColdFusion 2021 Application Serverサービスを停止します
2. cfreportの個別パッチは、Updateのバックアップフォルダに移動しています。以下の場所から個別パッチファイルを見つけてください。
   • [cf_root]/インスタンス(cfusion等)/hf-updates/hf-2021-00020-330407/backup/lib/updates
     • 例　C:\ColdFusion2021\cfusion\hf-updates\hf-2021-00020-330407\backup\lib\updates
3. 個別パッチファイルを元の場所に戻します
   • 戻し先：[cf_root]/インスタンス(cfusion等)/lib/updates
     • 例　C:\ColdFusion2021\cfusion\lib\updates
       • （注意）バックアップされた場所にある chf202100xx.jarは古いUpdateのコアファイルです。このファイルは元の場所に戻さないでください（誤って元の場所に戻してしまうとUpdateが一致しなくなり誤動作の原因となります）
4. ColdFusion 2021 Application Serverサービスを起動します
5. 動作を確認してください

「2. presentationパッケージをアンインストールする」については、原因となっているpresentationパッケージをアンインストールする方法となります。presentationパッケージはColdFusion 2016で非推奨およびサポート外となった主にFlashベースのプレゼンテーションを作成していたcfpresentationタグの機能です。利用実績も無く、このパッケージをアンインストールしても問題は生じないこと、また、「1.以前に配布された個別パッチを適用する」はUpdateを適用するたびに個別パッチを元の場所に戻す必要があるのに対し、こちらの方法はpresentationパッケージを再度インストールしない限り恒久的な対策となります。presentationパッケージのアンインストールは以下の作業を行ってください。

1. ColdFusion Administratorにログインして、「パッケージマネージャー」の画面を開きます
2. 「インストール済みのパッケージ」の項目を展開して、「presentation」パッケージを選択して「アンインストール」を行います
3. アンインストール後、ColdFusion 2021 Application Serverサービスを再起動します

【補足】

• Update 22にはUpdate 1～21の修正も含まれていますので、個々にひとつずつUpdateを適用していく必要はありません。
• Update 22でTomcatのバージョンは更新されていません。Update 21と同じく 9.0.106 になります。
• Update 22ではfeedパッケージが更新されます。
• Updateについて、後から補足や既知の問題に関する情報が追加される場合があります。それらは、英語のUpdateページに掲載されますので、Update適用の際には英語ページも確認頂くことをお勧めします。
  https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-22.html