ColdFusion 2021 アップデート 3 についての参考情報

※本ページは、メーカーサイトの情報を部分的に抜粋して紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合(英文ページで情報が追加・変更された場合も含む)には、オリジナルの英文ページの情報を優先して下さい。


2021.12.22 追記
log4j2 については、さらに 2021年12月18日に新たな脆弱性のCVE-2021-45105が公開されました。ColdFusionではこの脆弱性も影響は確認されていませんが、ベストプラティクスとして ColdFusion 2021 Update 3を対象に、Log4j2 ライブラリを 2.17.0 にアップグレードするためのパッチを公開しました。2.17.0への差し替えをご希望の方は、下記に参考情報ページを公開していますので Update 3を適用後、対応を行ってください。


-【注意1】------------

一つ前のUpdate 2の環境、または新しいColdFusion 2021インストーラー(Update 2適用済み)を使ってインストールした環境で、「クエリオブクエリ不具合に対する個別パッチ」または「CFReportタグ実行時のエラーに対する個別パッチ」の個別パッチを適用している場合、Update 3をインストールするとそれら個別パッチがbackupフォルダに移動されてしまい、パッチが外れてしまいます。

Update 3では問題は修正されていないため、個別パッチを元の場所に戻す必要があります。下記のフォルダにバックアップされていますので、それを再び所定の配置先にもどしてください

  • バックアップされた場所:[cf_root]/インスタンス(cfusion等)/hf-updates/hf-2021-00003-329779/backup/lib/updates
    • 例 C:\ColdFusion2021\cfusion\hf-updates\hf-2021-00003-329779\backup\lib\updates
  • 配置先:[cf_root]/インスタンス(cfusion等)/lib/updates
    • 例 C:\ColdFusion2021\cfusion\lib\updates

(注意)バックアップされた場所にある chf2021000x.jarは古いUpdateのコアファイルです。このファイルは元の場所に戻さないでください(誤って元の場所に戻してしまうとUpdateが一致しなくなり誤動作の原因となります)。

-【注意2】------------

Update 未適用、または Update 1適用済みの環境からUpdate 3を適用した際は、一つ前のUpdate 2で確認された下記の不具合に遭遇する場合があります。

  1. クエリオブクエリ不具合に対する個別パッチ
  2. CFReportタグ実行時のエラーに対する個別パッチ
  3. spreadsheet系の処理で読み込んだファイルがロックされ、削除ができない問題のカスタムパッチ

上記の問題に遭遇される方(それら機能を使用されている方)は、Update 3適用後に上記のFAQの内容に沿って、個別パッチ、またはカスタムパッチを適用してください。

-【注意3】------------

一つ前のUpdate 2では、IIS/Apache とColdFusionとの接続コネクタの設定が更新されました(リリース当初は接続コネクタの情報はありませんがでしたが後から追記されました)。そのため、以下に対象する方は、Update 3の適用後に、接続コネクタの『アップグレード』を行ってください。

  • Update 未適用、または Update 1から Update 3を適用された方
  • Update 未適用、または Update 1から Update 2を既に適用済みだが、接続コネクタのアップグレードをまだ行われていない方

Update 2を適用した後に接続コネクタのアップグレードを既に行われた方や、新しいColdFusion 2021インストーラー(Update 2適用済み)をインストールして接続コネクタを設定された方は、この操作は不要です

「Web サーバー設定ツール」を起動し、[ アップグレード] ボタンを押せば、コネクタファイルの更新を行います。コマンドで実行する場合は wsconfig –upgrade です
 
(参考)Webサーバーの設定については Webサーバーに接続 (adobe.com)の「Web サーバーの設定」に書かれている「GUI モードによる WEB サーバー設定ツールの実行」または「コマンドラインインターフェイスの使用」をご確認ください

------------------

米国時間 2021年12月17日に ColdFusion 2021 Update 3が公開されました。このアップデートは、log4j2関連の脆弱性(CVE-2021-44228 および CVE-2021-45046)を解決します。このUpdateを適用すると、log4j2関連のjarが2.16.0にアップグレードされます。


アップデートの際の注意点
  • プロキシ環境下では、Updateを適用する前に、「パッケージマネージャー > 設定」でプロキシ設定を追加してください。
  • ColdFusion 2021の Administratorでは、Updateは「パッケージマネージャー」から行います。『コアサーバー』と更新対象の『インストール済みのパッケージ』の両方に更新の記載が表示されますが、『コアサーバー』の更新を行えば、今回関連する『インストール済みのパッケージ』も合わせて更新されます(Update 2から3の場合は、パッケージのUpdateはなく、コアサーバーのUpdateのみ行われます)
    1. Updateの通知(画面を開いた時に、『コアサーバー』のアップデートが無い「コアパッケージに対するアップデートはありません。」という表示になることがだいたい2回に1回の割合でありました。外部ネットワークの接続が行えている(直接接続できる、もしくは、プロキシの設定を追加している)にも関わらず、アップデートはありませんとなっている場合は、何回か「パッケージマネージャ」の画面を開いて(画面左、下から2番目のアイコンを何度もクリック)みてください

       
    2. 『コアサーバー』の更新を行う際に、以下のように確認が表示されます。Update対象のパッケージがある場合は、該当パッケージが一旦アンインストールされ、再起動時に自動的にインストールされます
       
    3. Updateのインストール中のステップは、旧バージョンと同じです。Update(コアサーバー)のインストールが終われば、自動で再起動されます。しばらく待つと、再起動されたメッセージが表示されます(時間が掛かりすぎた場合などは、タイムアウトすることもあります)ので、[OK]を押してください。
    4. (注意)Unix環境では、手動でUpdateを適用した際は、そのUpdateを実行してユーザーで、新規フォルダやファイルが作成されます。また、再起動も手動でUpdateを実行したユーザーで行われる模様です。そのため、本来と異なる起動ユーザーでColdFusionが実行され、ファイル・フォルダの権限不足エラーなど、動作の障害や404エラーの発生を招くことがあります。この状態になった場合は、Update適用後に再起動された ColdFusion 2021を停止し、下記の手順を実施した後、改めて、通常の方法でColdFusionを起動してください
      【参考手順】
      1. ColdFusion を停止します
          [cf_root]/cfusion/bin/coldfusion stop
          [cf_root]/cfusion/jetty/cfjetty stop
      2. ColdFusionインストール配下のファイル・フォルダ権限を ColdFusion実行ユーザーに変更します
        例(sudoを利用):sudo chown -R [ColdFusion Runtime User] [Path to ColdFusion instance
      3. 次に /tmp/ フォルダ内に customcache.index と customcache.data ファイルが存在しないかを確認します。存在する場合、/tmp/customcache.index と /tmp/customcache.data のファイルがColdFusion実行ユーザーになっているかを確認し、異なるユーザー(アップデータ適用時のユーザー)の場合は、ColdFusion実行ユーザーに変更します
        例(sudoを利用):sudo chown -R [ColdFusion Runtime User] /tmp/customcache.*
      4. ColdFusion を起動します(OSのサービス起動コマンドで起動している場合はそちらで起動してください)
      5.   [cf_root]/cfusion/bin/coldfusion start
          [cf_root]/cfusion/jetty/cfjetty start (Jetty サービスを使用している場合)
         
    5. ColdFusion 2から3では、ColdFusion関連の不具合の修正等は行われていない模様です。Update 2で公開された個別パッチなども含まれていないため、Update 2で個別パッチを適用している場合は、Update 3適用後に再び個別パッチを適用して(元の場所に戻して)ください。詳しくは【注意1】【注意2】を確認してください
       
    6. Webサーバーコネクタについては、上記の【注意3】を確認してください
      アップデートのポイント
      • 本番環境へのアップデータを適用前に、テスト環境等でパッチの適用方法の確認とパッチ適用後の十分な動作確認を行って下さい
      • ColdFusion 2016以降、ColdFusion Administrator(/CFIDE/administrator)へのアクセスは同梱のWebサーバー(デフォルトポート8500)で行います
        • 攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態で外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用(経由)した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合でもメーカーはサポートを行いません
           

      その他の情報がある場合は、確認次第、情報を追記・修正致します


      記事公開日:2021年12月19日
      最終更新日:2021年12月22日


      x

      Sample Modal Window

      This is just a sample…

      Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.

      Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.