ColdFusion 2021 アップデート 7 についての参考情報

日本時間 2023/7/20 未明に、さらに新しいColdFusion 2021 Update 9がリリースされました。 APSB23-47 (優先度1)の修正が含まれます。そのため、以下のFAQを参考にしながら、Update 9 を適用してください。

ColdFusion 2021 アップデート 9 についての参考情報

※本ページは、メーカーサイトの情報を部分的に抜粋して紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合(英文ページで情報が追加・変更された場合も含む)には、オリジナルの英文ページの情報を優先して下さい。

米国時間 2023年7月11日に ColdFusion 2021 Update 7が公開されました。このアップデートは、セキュリティ情報  APSB23-40 (優先度1)の修正が含まれます。緊急度・優先度が最も高い脆弱性の修正が行われています。外部からのアクセスが可能なサイトでColdFusionを使用している場合はUpdateを適用してください。

【注意1】

Update 7では、Update 2以降で確認されている、以下の不具合が引き続き発生します

Update 7適用後に、新規に↑のパッチを適用する場合は、上記それぞれの FAQの内容に沿って作業を行ってください。

Update 2~6の環境で上記のパッチを適用した後、Update 7を適用した場合は、以下の作業を行ってください。

  • spreadsheetのカスタムパッチの場合
    • Update 7を適用することによって、spreadsheetがUpdate 5レベルのものに置き換わってしまった場合は、以下の手順でカスタムパッチを再選択してください。
      1. Update 7適用後、ColdFusion Administratorの「パッケージマネージャー > パッケージ」画面を開きます
      2. 『インストール済みのパッケージ▼』を開き、[spreadsheet]を選択し、[アンインストール]ボタンを押してアンインストールを行います
      3. アンインストールが終わると『使用可能なパッケージ▼』に[spreadsheet]が移動しますので、選択し「使用可能なバージョン」でカスタムパッチの『2021.0.02.328935』を選択して[インストール]ボタンを押し、インストールしてください
      4. 動作を確認してください
         
  • 個別パッチ:cfreport(hf202100-4212391.jar)、MySQL(hf202100-4211276.jar)の場合

    • 個別パッチを元の場所に戻す必要があります。下記のフォルダにバックアップされていますので、以下の手順で再び所定の配置先にもどしてください

      1. Update 7適用後、ColdFusion 2021 Application Serverサービスを停止します
      2. cfreportの個別パッチは、Updateのバックアップフォルダに移動しています。以下の場所から個別パッチファイルを見つけてください。
        • [cf_root]/インスタンス(cfusion等)/hf-updates/hf-2021-00007-330142/backup/lib/updates
          • 例 C:\ColdFusion2021\cfusion\hf-updates\hf-2021-00007-330142\backup\lib\updates
      3. 個別パッチファイルを元の場所に戻します
        • 戻し先:[cf_root]/インスタンス(cfusion等)/lib/updates
          • 例 C:\ColdFusion2021\cfusion\lib\updates
            • (注意)バックアップされた場所にある chf2021000x.jarは古いUpdateのコアファイルです。このファイルは元の場所に戻さないでください(誤って元の場所に戻してしまうとUpdateが一致しなくなり誤動作の原因となります)
      4. ColdFusion 2021 Application Serverサービスを起動します
      5. 動作を確認してください

 

【注意2】

セキュリティ情報  APSB23-40 (優先度1)ページ内に、ColdFusionが使用するJavaを最新にすることを推奨する記載がありますが、内容に一部誤りがあります。ColdFusion 2023はJava 17のみをサポートするのに対し、ColdFusion 2021 / 2018 はJava 11のみをサポートしています。
そのため、最新のJavaに更新する際は、Java 11の最新リビジョンに更新してください(Java 17は使用しないでください)

抜粋・引用
Adobe recommends updating your ColdFusion JDK/JRE to the latest version of the LTS releases for JDK 17 where applicable. Applying the ColdFusion update without a corresponding JDK update will NOT secure the server. See the relevant Tech Notes for more details.
(google翻訳)アドビでは、必要に応じて、ColdFusion JDK/JRE を JDK 17 用の最新バージョンの LTS リリースに更新することをお勧めします。対応する JDK アップデートなしで ColdFusion アップデートを適用しても、サーバーは保護されません。詳細については、関連するテクニカルノートを参照してください。

 

【注意3】

Update 3~7ではWebサーバーコネクタは更新されていません。

ですので、Update 未適用、または Update 1適用済みの環境からUpdate 7を適用した場合に限り、Update 7の適用後に接続コネクタの『アップグレード』を行ってください。
Update 2~6の環境からUpdate 7を適用する場合や、新しいColdFusion 2021インストーラー(Update 2、またはUpdate 5が適用されています)をインストールして接続コネクタを設定された方は、アップグレードは不要です

「Web サーバー設定ツール」を起動し、[ アップグレード] ボタンを押せば、コネクタファイルの更新を行います。コマンドで実行する場合は wsconfig –upgrade です
 
(参考)Webサーバーの設定については Webサーバーに接続 (adobe.com)の「Web サーバーの設定」に書かれている「GUI モードによる WEB サーバー設定ツールの実行」または「コマンドラインインターフェイスの使用」をご確認ください

新規にColdFusion 2021とApacheを接続した際は、HTTP 503エラーが発生します。この対応方法については、下記をご確認ください
https://cfassociates.samuraiz.co.jp/index.cfm/faq/coldfusion2021/cf2021-connector-503error/

一部のUnix環境(Ubuntu 20.04等)で、ColdFusion 2021 と Apache を接続した環境において、長時間のリクエストの途中でApacheがクラッシュを起こしブラウザへの応答が中断する不具合が確認されています。下記のFAQ記事の内容に従い、設定を変更してください
ColdFusion 2018 とApacheの環境で長時間リクエストでエラーが発生する

 

【補足】

  • Update 7で更新されたパッケージはありません。
  • Updateについて、後から補足や既知の問題に関する情報が追加される場合があります。それらは、英語のUpdateページに掲載されますので、Update適用の際には英語ページも確認頂くことをお勧めします。
    https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-7.html

 

アップデートの際の注意点
  • プロキシ環境下では、Updateを適用する前に、「パッケージマネージャー > 設定」でプロキシ設定を追加してください。
    • インターネットに接続が制限されるネットワーク下の環境などでColdFusion Administratorの更新機能が使えない場合は、手動でアップデートを適用する必要がありますが、従来のバージョンと手順が異なっています。詳しくは、下記の記事をご参考下さい
      • オフラインやクローズド環境でColdFusion 2021 アップデートを適用する際の参考情報
        • Update 7のコアファイルの更新をダウンロードするページ(日本語ページのみ)に、「ホットフィックスとパッケージのリポジトリ:リンク」がありますが、リンクをクリックしても404エラーとなります。Update 6 → 7 でパッケージの更新が無かったためです。上記のFAQに沿ってダウンロードする際は、以下のように作業します。
          • Update 6 → 7 の場合は、Update 7のコアの更新ファイルのみをダウンロード
          • Update 5以前→7の場合は、Update 7のコアの更新ファイルと、UPDATE 6の「ホットフィックスとパッケージのリポジトリ:リンク」をダウンロード
      • 手動でアップデータを適用する際の注意事項
  • ColdFusion 2021の Administratorでは、Updateは「パッケージマネージャー」から行います。『コアサーバー』と更新対象の『インストール済みのパッケージ』の両方に更新の記載が表示されますが、『コアサーバー』の更新を行えば、今回関連する『インストール済みのパッケージ』も合わせて更新されます
    1. Updateの通知(画面を開いた時に、『コアサーバー』のアップデートが無い「コアパッケージに対するアップデートはありません。」という表示になることがだいたい2回に1回の割合でありました。外部ネットワークの接続が行えている(直接接続できる、もしくは、プロキシの設定を追加している)にも関わらず、アップデートはありませんとなっている場合は、何回か「パッケージマネージャ」の画面を開いて(画面左、下から2番目のアイコンを何度もクリック)みてください

      ↑「アップデートを自動的に確認」を無効にしている場合は、[アップデートを確認]ボタンを押して、アップデートの有無を確認してください
       
    2. 『コアサーバー』の更新を行う際に、そのUpdateを対象したパッケージの更新がある場合は、[ダウンロードしてインストール]ボタンを押した際に、確認ダイヤログに表示されます。Update処理を進めると、対象のパッケージは一旦アンインストールされ、そのあとに自動的に行われるColdFusionの再起動の中で更新後のパッケージがインストールされます
       
    3. Updateのインストール中のステップは、旧バージョンと同じです。Update(コアサーバー)のインストールが終われば、自動で再起動されます。しばらく待つと、再起動されたメッセージが表示されますので、[OK]を押してください。
      • 時間が掛かりすぎた場合などは、タイムアウトすることもあります。「時間がかかりすぎています」のメッセージが表示された場合は[OK]ボタンを。何も表示されないor砂時計マークなどの場合は、ブラウザの更新を行ってください。ColdFusion Administratorのログインが表示されたらログインを行い、Updateが適用されたかどうかを確認してください
      • 本番環境など負荷が高い環境では、Update適用後に自動で行われるColdFusionの再起動がタイムアウトを起こすことがあります。その場合は、手動でColdFusionを起動し、起動後にAdministratorにログインしてUpdateが適用されたかどうかを確認してください
         
  • (注意)Unix環境では、手動でUpdateを適用した際は、そのUpdateを実行してユーザーで、新規フォルダやファイルが作成されます。また、再起動も手動でUpdateを実行したユーザーで行われる模様です。そのため、本来と異なる起動ユーザーでColdFusionが実行され、ファイル・フォルダの権限不足エラーなど、動作の障害や404エラーの発生を招くことがあります。この状態になった場合は、Update適用後に再起動された ColdFusion 2021を停止し、下記の手順を実施した後、改めて、通常の方法でColdFusionを起動してください
    【参考手順】
    1. ColdFusion を停止します
        [cf_root]/cfusion/bin/coldfusion stop
        [cf_root]/cfusion/jetty/cfjetty stop
    2. ColdFusionインストール配下のファイル・フォルダ権限を ColdFusion実行ユーザーに変更します
      例(sudoを利用):sudo chown -R [ColdFusion Runtime User] [Path to ColdFusion instance
    3. 次に /tmp/ フォルダ内に customcache.index と customcache.data ファイルが存在しないかを確認します。存在する場合、/tmp/customcache.index と /tmp/customcache.data のファイルがColdFusion実行ユーザーになっているかを確認し、異なるユーザー(アップデータ適用時のユーザー)の場合は、ColdFusion実行ユーザーに変更します
      例(sudoを利用):sudo chown -R [ColdFusion Runtime User] /tmp/customcache.*
    4. ColdFusion を起動します(OSのサービス起動コマンドで起動している場合はそちらで起動してください)
    5.   [cf_root]/cfusion/bin/coldfusion start
        [cf_root]/cfusion/jetty/cfjetty start (Jetty サービスを使用している場合)
アップデートのポイント

 

  • 本番環境へのアップデータを適用前に、テスト環境等でUpdateの適用方法の確認とUpdate適用後の十分な動作確認を行って下さい
  • ColdFusion 2016以降、ColdFusion Administrator(/CFIDE/administrator)へのアクセスは同梱のWebサーバー(デフォルトポート8500)で行います
    • 攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態で外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用(経由)した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合でもメーカーはサポートを行いません
       

その他の情報がある場合は、確認次第、情報を追記・修正致します

記事公開日:2023年07月12日
最終更新日:2023年07月21日

x

Sample Modal Window

This is just a sample…

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.

Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.