ColdFusion 2021 アップデート 19 についての参考情報

【注意１】

このUpdateでは、セキュリティ情報に記載されている問題に関する修正や、cfencodeによるプリコンパイルされたファイルがデフォルトで実行できなくなるなどの制限が追加されています。また、Updateが提供された後に確認された問題もありますので、それらのリストをここに記載します。リストは随時更新します。

1. cfencodeが廃止され、cfencodeを使用して暗号化したソースコードもデフォルトで実行できなくなりました
   • 暗号化したソースコードを実行するには
     「-Dcoldfusion.cfencode.decryption.enable=true」をJVM引数に追加します。（↑Update 19について）
2. プリコンパイルされたCFMファイルがあり、それが実行されなくなった場合は
   「-Dcoldfusion.compiler.block.bytecode=false」をJVM引数に追加します。（↑Update 19について）
3. このUpdateでは、cfusion/lib にあるserialfilter.txtファイルが変更されたものに置き換えられます。
   • serialfilter.txtファイルの内容を独自に修正・変更している場合は、再度置き換えられたファイルを修正・変更をし直してください。
     • それまでのserialfilter.txtが[cf_root]/{インスタンス(cfusion等)}\hf-updates\hf-2021-00019-330379\backup\lib に置かれていますが、そのファイルを上記の場所に上書きするのではなく、cfusion/lib にあるserialfilter.txtにカスタマイズした内容を反映してください。（↑Update 19について）
4. Wddxのシリアライズ・デシリアライズの許可リスト（cfserialfilter.txt）を独自に修正・変更している場合は、デフォルトの状態に戻されます。
   • cfserialfilter.txtはこのUpdateでは変更されていないので、バックアップから元に戻してください（↓【注意1-4】）
5. cfhtmltopdfを使用している場合、このUpdateを適用すると動作しなくなります。
   • 再び動作させるためには、手動でファイルの入れ替え等を行ってください（↓【注意1-5】）
6. このUpdateでは、Add-on サーバーへの接続をipアドレスレベルで制限するフィルターが追加されていますが、Updateが構成ファイル（jetty-ipaccess.xml）の配置に失敗している場合は、Add-onサーバーの起動に失敗します。
   • この問題に該当した場合は、手動でjetty-ipaccess.xmlファイルを配置してください（↓【注意1-6】）
7. その他、今回のUpdateを適用してから新たな問題が発生した場合
   • ColdFusion Administratorにログインして「パッケージマネージャー」画面を開き、コアとパッケージが正しくアップデートされていることを確認してください。
     • 動かない機能がAdministratorの項目にある場合（例：htmltopdf→データとサービス:PDFサービス）、その項目を開いた際にエラーが発生しないことを確認してください
   • 一旦ColdFusionを停止して、以下の場所にあるキャッシュを削除してください。削除後にColdFusionを起動して問題が解消されるかを確認してください
     • [cf_root]/{インスタンス(cfusion等)}\bin 内の felix-cache フォルダをフォルダごと削除
     • [cf_root]/{インスタンス(cfusion等)}\wwwroot\WEB-INF\cfclasses 内の *.classファイルをすべて削除

【注意１-4】

Wddxのシリアライズ・デシリアライズの許可リスト（cfserialfilter.txt）に手動でリストの追加や変更を行った場合、Update を適用したことによって追加した項目が削除されて、デフォルトの状態に戻されます。そのため、Update 18を適用した際にバックアップされた場所からそれらファイルを再び元の位置に戻してください。

※Update 18を適用すると、[cf_root]\{インスタンス(cfusion等)}\hf-updates\hf-2021-00019-330379\backup\lib 内にファイルがバックアップされます。バックアップされたファイルを、[cf_root]\{インスタンス(cfusion等)}\lib内に置き直してください。

【注意１-5】

このUpdateではcfhtmltopdfの動作にいくつか問題が生じることを確認しています。確認した問題についてここにリストします

• Update を適用すると htmltopdfパッケージが削除される
  • 一部の環境でこの問題が発生しました。ColdFusion Administratorにログインして「パッケージマネージャー」画面を開き、「使用可能なパッケージ」の項目を展開して htmltopdfパッケージを選び、インストールしてください
• cfhtmltopdfを使用するページを実行すると、画面が真っ白（もしくはHTTP500エラー）となる
  • ColdFusionのexception.logなどに、java.lang.NoClassDefFoundError: coldfusion/document/DocumentScopeが出力されている場合は、パッケージのキャッシュを削除してください
    • [cf_root]/{インスタンス(cfusion等)}\bin 内の felix-cache フォルダをフォルダごと削除
• cfhtmltopdfを使用するページを実行すると、「PDFを生成中にエラーが発生しました　理由：SERVER ERROR」が表示される
  • cfhtmltopdfを実行する Add-onサービス側の PDFgのファイルが正しく差し替えられていないようです
    • 不具合情報：https://tracker.adobe.com/#/view/CF-4226195
    • 回避方法については、上記の不具合情報を確認するか、弊社技術サポートのご契約をお持ちの方はサポートセンターにお問い合わせください

【注意１-6】

Add-on サーバーへの接続をipアドレスレベルで制限するフィルターが追加されていますが、その構成ファイル（jetty-ipaccess.xml）の配置に失敗している場合は、Add-onサーバーの起動に失敗します。その場合は、以下の手順でjetty-ipaccess.xmlファイルを配置してAdd-onサーバーを再起動してください。

1. 以下の内容をコピーしてjetty-ipaccess.xmlファイルを作成し、[cf_root]/cfusion/jetty/etc内に保存します

   <?xml version="1.0"?>
   <!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure_9_3.dtd">
   
   <!-- =============================================================== -->
   <!-- The IP Access Handler                                           -->
   <!-- =============================================================== -->
   
   <Configure id="Server" class="org.eclipse.jetty.server.Server">
       <Call name="insertHandler">
           <Arg>
               <New id="IPAccessHandler" class="org.eclipse.jetty.server.handler.IPAccessHandler">
                   <Set name="white">
                       <Array type="String">
                           <Item></Item>
                       </Array>
                   </Set>
                   <Set name="black">
                       <Array type="String">
                           <Item></Item>
                       </Array>
                   </Set>
                   <Set name="whiteListByPath">false</Set>
               </New>
           </Arg>
       </Call>
   </Configure>

2. ColdFusion 2021 Application ServerとAdd-onサーバーを停止します。
3. Add-onサーバーを先に起動します
4. Add-onサーバーの起動を確認したら、ColdFusion 2021 Application Serverを起動します

• jetty-ipaccess.xmlファイルについては、cfhtmltopdfタグの英語ページに追加された情報を確認してください

【注意２】

Update 13未満の環境からUpdate 19を適用した際は、Update 13の暗黙のスコープ処理の変更やUpdate 14の関数のデフォルト暗号アルゴリズムの変更の影響がないかを事前にテスト環境等で確認を行うなど、必要に応じた対処を行ってください。暗黙のスコープ処理の変更については、Update 13の参考情報ページ、および Update 14の参考情報ページ、または、以下のそれぞれのFAQを確認してください。

Update 13で変更：一部変数の暗黙スコープ処理の変更について
Update 14で変更：暗号アルゴリズムのデフォルトの変更について

【注意３】

Update 19ではWebサーバーコネクタの更新は行われていませんが、Update 10以前の環境からUpdate 19を適用した際は、Update 19を適用した後、接続コネクタの「再定義（一旦コネクタを削除し、再登録）」を行ってください。
webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
※参考記事「ColdFusionクリニック」
http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html

【注意】コネクタ関連に修正や設定の変更や追加を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください（特にApacheと接続している場合は、cf_scriptsのエイリアスの変更などを mod_jk_vhost.conf に行っていますので、再登録後にその設定を再び反映させるのを忘れないようにしてください）。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定がバックアップされていますので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。

【注意】Apacheとの接続を行っている際は、再定義（一旦コネクタを削除し、再登録）によって、再び 503エラーが発生するようになります。接続コネクタの再定義によりそれらの値が初期値に戻るためです。コネクタの再登録後に変更設定をやり直してください。Webサーバー（Apache等）と接続後、.cfmページのリクエストが503エラーになる

攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行いません

【注意４】
アドビでは、セキュリティへの備えが必要となるサイトでColdFusionを使用する 場合は、ColdFusionが使用するJavaを最新のリビジョンにすることを推奨しています。UpdateにはJavaの更新は含まれないため、Updateとは別にJavaのインストールとColdFusionのJVM設定の変更が必要となります。サポートするJavaのバージョンやインストール方法・JVM設定の変更方法については、以下の FAQ をご確認ください。

ColdFusionがサポートするJavaについて

ColdFusionが使用するJVMを変更する方法について（再更新）

また、アドビでは、ColdFusion セキュリティ ページに概要が記載されているセキュリティ構成設定を確認するとともに、それぞれのロックダウン ガイドを適用することを推奨しています。   

ColdFusion 2021 Lockdown Guide

※記事中の「サーバー自動ロックダウン」インストーラーについては、強力なセキュリティ設定をインストール・ウィザード形式でステップで行っていける半面、「ColdFusionの実行ユーザー」の変更や「ファイルシステムのアクセス許可の変更によりwebルート以下の書き込みの制限」、「Webサーバー設定」の変更など、既存の運用に影響を生じることが考えられます。そのため、実稼働環境に導入する前に、すべての推奨事項を分離されたテスト環境でテストすることが強く推奨されています。

上記のロックダウンガイドに沿って手動で設定を変更していくことなども検討してください。以下のFAQも参考にしてください

サーバーのロックダウンについての参考情報

【注意５】

cfreportのエラーはUpdate 17での修正リストに以下のように補足付きで説明がされています。

ColdFusion（2021 リリース）アップデート 17
より抜粋 
(CF-4212391)
cfreport が正常に機能しません。次のエラーメッセージが表示されます。
行 4、文字 326 にエラーがあります : net.sf.jasperreports.engine.xml.JasperDesignFactory
問題が引き続き断続的に発生する場合は、Felix キャッシュをクリアし、ColdFusion を再起動してください。

Update 17以降でもまれに同じエラーの発生が報告されており、上記の対応（Felixキャッシュのクリア）のみではエラーの解消が不完全な場合がある模様です。
cfreportを使用した際に同じエラーが発生した場合は、以下1. 2.のどちらかの方法にて対応してください

1. 以前に配布された個別パッチを適用する
2. presentationパッケージをアンインストールする

「1.以前に配布された個別パッチを適用する」については、以下のFAQにて紹介している個別パッチを適用する方法となります。

• cfreportタグの実行時のエラーを解消する個別パッチ

Update 19適用後に、新規に↑のパッチを適用する場合は、上記の FAQの内容に沿って作業を行ってください。Update 18までの環境で上記のパッチを適用した後、Update 19を適用した場合は、個別パッチがbackupフォルダに移動しますので、再び元の場所に戻す必要があります。以下の作業を行ってください。

1. Update 19適用後、ColdFusion 2021 Application Serverサービスを停止します
2. cfreportの個別パッチは、Updateのバックアップフォルダに移動しています。以下の場所から個別パッチファイルを見つけてください。
   • [cf_root]/インスタンス(cfusion等)/hf-updates/hf-2021-00019-330379/backup/lib/updates
     • 例　C:\ColdFusion2021\cfusion\hf-updates\hf-2021-00019-330379\backup\lib\updates
3. 個別パッチファイルを元の場所に戻します
   • 戻し先：[cf_root]/インスタンス(cfusion等)/lib/updates
     • 例　C:\ColdFusion2021\cfusion\lib\updates
       • （注意）バックアップされた場所にある chf202100xx.jarは古いUpdateのコアファイルです。このファイルは元の場所に戻さないでください（誤って元の場所に戻してしまうとUpdateが一致しなくなり誤動作の原因となります）
4. ColdFusion 2021 Application Serverサービスを起動します
5. 動作を確認してください

「2. presentationパッケージをアンインストールする」については、原因となっているpresentationパッケージをアンインストールする方法となります。presentationパッケージはColdFusion 2016で非推奨およびサポート外となった主にFlashベースのプレゼンテーションを作成していたcfpresentationタグの機能です。利用実績も無く、このパッケージをアンインストールしても問題は生じないこと、また、「1.以前に配布された個別パッチを適用する」はUpdateを適用するたびに個別パッチを元の場所に戻す必要があるのに対し、こちらの方法はpresentationパッケージを再度インストールしない限り恒久的な対策となります。presentationパッケージのアンインストールは以下の作業を行ってください。

1. ColdFusion Administratorにログインして、「パッケージマネージャー」の画面を開きます
2. 「インストール済みのパッケージ」の項目を展開して、「presentation」パッケージを選択して「アンインストール」を行います
3. アンインストール後、ColdFusion 2021 Application Serverサービスを再起動します

【補足】

• Update 19にはUpdate 1～18の修正も含まれていますので、個々にひとつずつUpdateを適用していく必要はありません。
• Update 19のTomcatのバージョンはUpdate 15～18と同じ 9.0.93 になります。
• Update 19ではhtmltopdfパッケージとadministrator,ajaxパッケージが更新されます。
• Updateについて、後から補足や既知の問題に関する情報が追加される場合があります。それらは、英語のUpdateページに掲載されますので、Update適用の際には英語ページも確認頂くことをお勧めします。
  https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-update-19.html