ColdFusion 2023 アップデート 12 についての参考情報

※本ページは、メーカーサイトの情報を部分的に抜粋して紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合（英文ページで情報が追加・変更された場合も含む）には、オリジナルの英文ページの情報を優先して下さい。

米国時間 2024年12月23日（日本時間12月24日（火））に ColdFusion 2023 Update 12が公開されました。このアップデートは、セキュリティ情報 APSB24-107 （優先度1）の修正が含まれます。このアップデートにより ColdFusion サーバーに pmtagent パッケージがインストールされている場合、任意のファイルシステムの読み取りにつながる可能性がある重大な脆弱性が解決されます。緊急度・優先度が最も高い脆弱性の修正のため、Updateを適用してください（または、一時的な回避として pmtagent パッケージをアンインストールしてください。詳しくは【注意１】を確認してください）。

ColdFusion 2023 Update 12 について
（英語ページ）https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-12.html
（日本語ページ）https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-2023-update-12.html
　※翻訳されるまでに時間が掛かる、または、追加情報が英語ページにのみ掲載される場合がありますので、英語ページを見ることをお勧めします
ColdFusion 2023 Update Release notes （英語ページ）：
https://helpx.adobe.com/coldfusion/release-note/coldfusion-2023-updates-release-notes.html
- 日本語ページ（翻訳されるまでに時間が掛かる場合がありますので英語ページを見ることをお勧めします）
  - Adobe ColdFusion（2023 リリース）アップデートリリースノート

【注意１】

今回の脆弱性は、pmtagent パッケージがインストールされている場合に影響を受けます。そのため、一時的な回避として、ColdFusion 2023からpmtagentパッケージをアンインストールすることもできます。

pmtagentパッケージは、ColdFusionサーバーとPerformance Monitoring Toolset（パフォーマンス監視ツールセット、以下 PMT）との連携で使用されますが、PMTを使用している・いないに関わらず、pmtagentパッケージがインストールされている場合に脆弱性の影響を受けます。

GUIインストーラーでColdFusionをインストールすると、pmtagent パッケージはデフォルトでインストールされます。また、軽量版（zip）インストーラーでColdFusionをセットアップした場合も、pmtagentパッケージをインストールした場合は、この脆弱性の影響を受けます。

Updateを適用するまでの一時的な対処として、pmtagentパッケージを一時的にアンインストールする場合は、ColdFusion Administratorにログインして、「パッケージマネージャー＞パッケージ」画面の「インストール済みのパッケージ」のツリーを展開して、『pmtagent』を選択し[アンインストール]ボタンを押してください。

PMTと連携しているColdFusion 2023 の場合は、pmtagentパッケージをアンインストールすると、PMTによるモニターが使用できなくなりますのでUpdate 12を適用することを推奨します。

Update 12を適用する際は、PMTは起動している状態で行ってください。もし、PMTを停止した状態でUpdate 12を適用すると、その後PMTを起動した際に登録済みのColdFusion 2023が見つからない状態になります。その場合は、PMTは起動した状態のまま、ColdFusion 2023を再起動してください。

【注意２】Update 7未満の環境からUpdate 12を適用した際は、Update 7の暗黙のスコープ処理の変更やUpdate 8の関数のデフォルト暗号アルゴリズムの変更の影響がないかを事前にテスト環境等で確認を行うなど、必要に応じた対処を行ってください。暗黙のスコープ処理の変更については、Update 7の参考情報ページ、および Update 8の参考情報ページ、または、以下のそれぞれのFAQを確認してください。

Update 7で変更：一部変数の暗黙スコープ処理の変更について
Update 8で変更：暗号アルゴリズムのデフォルトの変更について

また、Update 11で多数のパッケージが更新されたことに伴い、Oracleへの接続が失敗したり、cfhtmltopdfが使用できなくなる障害が確認されています。Update 12を適用した際にこの問題が確認された場合は、felix-cacheを手動で削除します。詳しくは、以下のUpdate 11の参考情報の【注意１】を確認してください。
ColdFusion 2023 アップデート 11 についての参考情報

【注意３】

Wddxのシリアライズ・デシリアライズの許可リスト（cfserialfilter.txt）
特定のJava クラスまたはパッケージを許可しないことでJavaデシリアライズをブロックするリスト（serialfilter.txt）

に手動でリストの追加や変更を行った場合、Update を適用したことによって追加した項目が削除されて、デフォルトの状態に戻されます。そのため、Update 12を適用した際にバックアップされた場所からそれらファイルを再び元の位置に戻してください。

※Update 12を適用すると、[cf_root]\{インスタンス(cfusion等)}\hf-updates\hf-2023-00012-330713\backup\lib 内にファイルがバックアップされます。バックアップされたファイルを、[cf_root]\{インスタンス(cfusion等)}\lib内に置き直してください。

【注意４】
Update 11ではWebサーバーコネクタの更新は行われていませんが、Update 4以前の環境からUpdate 12を適用した際は、Update 12を適用した後、接続コネクタの「再定義（一旦コネクタを削除し、再登録）」を行ってください。
webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
※参考記事「ColdFusionクリニック」
http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html

【注意】コネクタ関連に修正や設定の変更や追加を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください（特にApacheと接続している場合は、cf_scriptsのエイリアスの変更などを mod_jk_vhost.conf に行っていますので、再登録後にその設定を再び反映させるのを忘れないようにしてください）。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定がバックアップされていますので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。

【注意】Apacheとの接続を行っている際は、再定義（一旦コネクタを削除し、再登録）によって、再び 503エラーが発生するようになります。接続コネクタの再定義によりそれらの値が初期値に戻るためです。コネクタの再登録後に変更設定をやり直してください。Webサーバー（Apache等）と接続後、.cfmページのリクエストが503エラーになる

攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態でも外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行わないためです

【注意５】
アドビでは、セキュリティへの備えが必要となるサイトでColdFusionを使用する場合は、ColdFusionが使用するJavaを最新のリビジョンにすることを推奨しています。UpdateにはJavaの更新は含まれないため、Updateとは別にJavaのインストールとColdFusionのJVM設定の変更が必要となります。サポートするJavaのバージョンやインストール方法・JVM設定の変更方法については、以下の FAQ をご確認ください。

ColdFusionがサポートするJavaについて

ColdFusionが使用するJVMを変更する方法について（再更新）

また、アドビでは、ColdFusion セキュリティページに概要が記載されているセキュリティ構成設定を確認するとともに、それぞれのロックダウンガイドを適用することを推奨しています。   

ColdFusion 2023 Lockdown Guide

※記事中の「サーバー自動ロックダウン」インストーラーについては、強力なセキュリティ設定をインストール・ウィザード形式でステップで行っていける半面、「ColdFusionの実行ユーザー」の変更や「ファイルシステムのアクセス許可の変更によりwebルート以下の書き込みの制限」、「Webサーバー設定」の変更など、既存の運用に影響を生じることが考えられます。そのため、実稼働環境に導入する前に、すべての推奨事項を分離されたテスト環境でテストすることが強く推奨されています。

上記のロックダウンガイドに沿って手動で設定を変更していくことなども検討してください。以下のFAQも参考にしてください

サーバーのロックダウンについての参考情報

【補足】

Update 12にはUpdate 1～11の修正も含まれていますので、個々にひとつずつUpdateを適用していく必要はありません。
Update 12のTomcatのバージョンはUpdate 9～11と同様 9.0.93 です。
Update 12では、pmtagentパッケージのみ更新されます。
Updateについて、後から補足や既知の問題に関する情報が追加される場合があります。それらは、英語のUpdateページに掲載されますので、Update適用の際には英語ページを優先して確認してください。
https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-12.html

アップデートの際の注意点

プロキシ環境下では、Updateを適用する前に、「パッケージマネージャー＞設定」でプロキシ設定を追加してください。
- インターネットに接続が制限されるネットワーク下の環境などでColdFusion Administratorの更新機能が使えない場合は、手動でアップデートを適用する必要がありますが、ColdFusion 2021以降は手順が異なっています。詳しくは、下記の記事をご参考下さい
  - オフラインやクローズド環境でColdFusion 2023 アップデートを適用する際の参考情報
  - 手動でアップデータを適用する際の注意事項
UpdateはColdFusion Administratorの「パッケージマネージャー」から行います。『コアサーバー』と更新対象の『インストール済みのパッケージ』の両方に更新の記載が表示されますが、『コアサーバー』の更新を行えば、Update対象の『インストール済みのパッケージ』も合わせて更新されます
1. Updateの通知…「アップデートを自動的に確認」を有効にしていると、ログイン時に最新のUpdateを確認します。Updateが見つかった場合は、「コアサーバー▼」の横に数字マークが表示されます（※下記の画像はUpdate 2のときのものです）
  
  ↑「アップデートを自動的に確認」を無効にしている場合は、[アップデートを確認]ボタンを押して、アップデートの有無を確認してください
2. 『コアサーバー』の更新を行う際に、そのUpdateを対象したパッケージの更新がある場合は、[ダウンロードしてインストール]ボタンを押した際に、確認ダイヤログに表示されます
  - パッケージが多数ある場合は、ボタンの表示が隠れてしまう場合があります。その場合はブラウザのズームを下げてください
  - Update処理が始まると、対象のパッケージは一旦アンインストールされ、そのあとに自動的に行われるColdFusionの再起動の中で更新後のパッケージのインストールを試みます。パッケージのURLにアクセスできなかった場合などは、そのパッケージが含まれない状態になりますので、手動でパッケージを追加してください。
3. Updateのインストール中のステップは、旧バージョンと同じです。Update（コアサーバー）のインストールが終われば、自動で再起動されます。しばらく待つと、再起動されたメッセージが表示されますので、[OK]を押してください。
  - パッケージの更新が多数ある場合は、[OK]ボタンが画面の下に切れる場合があります。その時は、ブラウザの『ズーム』で縮尺を75%やそれ以下に下げてください（ズームを変更したあとブラウザの大きさを変更したりスクロールすることで表示されるようになるかと思います）。
  - 時間が掛かりすぎた場合などは、タイムアウトすることもあります。「時間がかかりすぎています」のメッセージが表示された場合は[OK]ボタンを。何も表示されないor砂時計マークなどの場合は、ブラウザの更新を行ってください。ColdFusion Administratorのログインが表示されたらログインを行い、Updateが適用されたかどうかを確認してください
  - 本番環境など負荷が高い環境では、Update適用後に自動で行われるColdFusionの再起動がタイムアウトを起こすことがあります。その場合は、一旦ブラウザをリロードしてログインできる場合はログインしてUpdateが適用されたかどうかを確認してください。ColdFusionが起動していない場合は手動でColdFusionを起動し、起動後にAdministratorにログインしてUpdateが適用されたかどうかを確認してください
（注意）Unix環境では、手動でUpdateを適用した際は、そのUpdateを実行してユーザーで、新規フォルダやファイルが作成されます。また、再起動も手動でUpdateを実行したユーザーで行われる模様です。そのため、本来と異なる起動ユーザーでColdFusionが実行され、ファイル・フォルダの権限不足エラーなど、動作の障害や404エラーの発生を招くことがあります。この状態になった場合は、Update適用後に再起動された ColdFusion 2023を停止し、下記の手順を実施した後、改めて、通常の方法でColdFusionを起動してください
【参考手順】
1. ColdFusion を停止します
  [cf_root]/cfusion/bin/coldfusion stop
  [cf_root]/cfusion/jetty/cfjetty stop
2. ColdFusionインストール配下のファイル・フォルダ権限を ColdFusion実行ユーザーに変更します
  例（sudoを利用）：sudo chown -R [ColdFusion Runtime User] [Path to ColdFusion instance
3. 次に /tmp/ フォルダ内に customcache.index と customcache.data ファイルが存在しないかを確認します。存在する場合、/tmp/customcache.index と /tmp/customcache.data のファイルがColdFusion実行ユーザーになっているかを確認し、異なるユーザー（アップデータ適用時のユーザー）の場合は、ColdFusion実行ユーザーに変更します
  例（sudoを利用）：sudo chown -R [ColdFusion Runtime User] /tmp/customcache.*
4. ColdFusion を起動します（OSのサービス起動コマンドで起動している場合はそちらで起動してください）
5. [cf_root]/cfusion/bin/coldfusion start
  [cf_root]/cfusion/jetty/cfjetty start (Jetty サービスを使用している場合）

アップデートのポイント

このアップデートには、ColdFusion 2023 Update 1～11までの修正も含まれた累積アップデートとなります。いくつかのUpdateをスキップしてこのUpdateを適用する場合は、スキップするUpdateの影響についても確認してください
- ColdFusion 2023 アップデート 11 についての参考情報
  - 不具合修正、パッケージのバージョンアップ、ライブラリの更新が行われました
- ColdFusion 2023 アップデート 10 についての参考情報
  - 脆弱性の修正が行われました
- ColdFusion 2023 アップデート 9 についての参考情報
  - 内部エンジンのTomcatのバージョンが 9.0.93 になりました。それ以外の変更はありません
- ColdFusion 2023 アップデート 8 についての参考情報
  - 脆弱性の修正が行われたほか、一部関数のデフォルト暗号アルゴリズムが変更されました。これにより、いままでとは違うアルゴリズムが実行されて結果が違ったりエラーが発生する場合があります
    暗号アルゴリズムのデフォルトの変更について
- ColdFusion 2023 アップデート 7 についての参考情報
  - 脆弱性の修正が行われ、一部変数の暗黙のスコープ処理が変更されました。いままで暗黙で参照できていたURL変数やForm変数、他一部の変数が、スコープ無しではエラーが発生するようになります
    一部変数の暗黙スコープ処理の変更について
- ColdFusion 2023 アップデート 6 についての参考情報
  - 脆弱性の修正が行われ、Wddxのシリアライズ・デシリアライズ専用のフィルターが実装されました。以下のFAQもご参考ください
    cfwddxでエラーが発生するようになった場合の確認方法
- ColdFusion 2023 アップデート 5 についての参考情報
  - 複数のバグフィックス、Tomcatの更新、コネクタのバージョンアップが行われました
- ColdFusion 2023 アップデート 4 についての参考情報
  - WDDXに対する独自のフィルターファイルが追加されました
- ColdFusion 2023 アップデート 3 についての参考情報
  - 緊急度・優先度が最も高い脆弱性の修正が行われました
- ColdFusion 2023 アップデート 2 についての参考情報
  - 緊急度・優先度が最も高い脆弱性の修正が行われました（Update 3でさらに修正が追加されました）
- ColdFusion 2023 アップデート 1 についての参考情報
  - 緊急度・優先度が最も高い脆弱性の修正が行われました（Update 2でさらに修正が追加されました）
本番環境へのアップデータを適用前に、テスト環境等でUpdateの適用方法の確認とUpdate適用後の十分な動作確認を行って下さい
- ColdFusion Administratorを利用した更新を行う場合の一般的な手順や注意事項等については、下記のFAQをご参考ください
  - アップデートを適用する手順の参考情報
- プロキシ環境下でColdFusionを実行されている場合は、「パッケージマネージャー＞設定」でプロキシ設定を追加してください
- サーバー自動ロックダウンを使用してサーバーがロックダウンしている環境や、インターネットに接続が制限されるネットワーク下の環境などでColdFusion Administratorの更新機能が使えない場合は、手動でUpdateを適用する方法をお試しください。詳しくは、下記の記事をご参考下さい
  - オフラインやクローズド環境でColdFusion 2023 アップデートを適用する際の参考情報
  - 手動でアップデータを適用する際の注意事項
ColdFusion 2016以降、ColdFusion Administrator（/CFIDE/administrator）へのアクセスは同梱のWebサーバー（デフォルトポート8500）で行います
- 攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態で外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合でもメーカーはサポートを行わないためです

その他の情報がある場合は、確認次第、情報を追記・修正致します

記事公開日：2024年12月24日
最終更新日：2024年12月24日

アップデートの際の注意点

アップデートのポイント

Sample Modal Window

This is just a sample…