ColdFusion 2023 アップデート 15 についての参考情報

【注意１】

1. Updateを適用した後からcfmailタグを実行した際にエラー（Bad type on operand stack）が発生する場合や、SpreadSheetNew関数でXLSシートを作成した際にエラー（com/zaxxer/sparsebits/SparseBitSet）が発生する場合があるようです。これらのエラーに遭遇した（あるいは運用しているアプリケーションでcfmailでメールを送信していたりSpreadSheetNewなどの関数を使用しているプログラムがある）場合は、Updateを適用した後にキャッシュを削除してください。
   1. ColdFusion を停止します
   2. [cf_root]/{インスタンス(cfusion等)}/bin（例：C:\ColdFusion2023\cfusion\bin）フォルダ内にある「felix-cache」フォルダをフォルダごと削除します
   3. [cf_root]/{インスタンス(cfusion等)}/cfusion/wwwroot/WEB-INF/cfclasses　（例：C:\ColdFusion2023\cfusion\wwwroot\WEB-INF\cfclasses）フォルダ内の「*.class」ファイルをすべて削除してください
   4. ColdFusionを起動します
   5. 動作を確認してください
       
2. このUpdateでは、いくつかのライブラリも更新されます。特に、スプレッドシート処理に使用されていたPOIライブラリが3.17・4.1.2 から 5.4.1に更新されました
   • ColdFusionでスプレッドシートの処理（cfspreadsheetタグやSpreadSheet系の関数）を使用している場合、Updateの適用による動作の影響が無いかを確認してください。
   • 独自にPOIライブラリを呼び出して処理を行っている場合は、特に注意して動作の確認を行ってください。
   • 3.17・4.1.2のPOIライブラリが混在していたことによって発生していた問題の回避をプログラムで行っている場合（createObject("java", "org.apache.poi.xxxxx.xxxx.xxxxxxxx","poi","4.1.2")）、プログラムの修正は（まだ）必要ないようですが、いずれかのタイミングでエラーになる場合に備えて、タイミングを見てプログラムを修正してください（,"4.1.2"を省いてください）。
     • （参考FAQ）スプレッドシート読み込み時にZip bomb detectedが発生した場合
        
3. 一つ前のUpdateで追加された、cfusion/lib にあるpathfilter.jsonファイルが、このUpdateを適用するとデフォルトの状態に戻されます。
   • 一つ前のUpdateを適用し、pathfilter.jsonファイルの内容を独自に修正・変更している場合は、このUpdateを適用した後にバックアップからpathfilter.jsonファイルを元の場所に置き直してください。
     • それまでのpathfilter.jsonが[cf_root]/{インスタンス(cfusion等)}/hf-updates/hf-2023-00015-330825/backup/lib 内にファイルがバックアップされます。バックアップされたファイルを[cf_root]/{インスタンス(cfusion等)}/lib内に置き直して ColdFusion を再起動してください。
     • また、ColdFusion Administratorの「サーバーの設定 ＞ スケジュールされたタスク」で、「パブリッシュ」の『 □出力をファイルに保存 』を有効にしているタスクが残っているかを確認してください。
        
4. cfusion/lib にあるserialfilter.txtファイルがUpdateを適用すると置き換えられます。もし、serialfilter.txtファイルの内容を独自に修正・変更している場合は、Updateを適用した後に、以下の作業を行ってください
   • Update 13 または 14 からUpdate 15を適用した場合
     • バックアップからserialfilter.txtファイルを元の場所に置き直してください
       • それまでのserialfilter.txtが[cf_root]/{インスタンス(cfusion等)}/hf-updates/hf-2023-00015-330825/backup/lib 内にファイルがバックアップされます。バックアップされたファイルを[cf_root]/{インスタンス(cfusion等)}/lib内に置き直して ColdFusion を再起動してください。
   • Update 12 以前から Update 15を適用した場合
     • 配置されたserialfilter.txtファイルに独自の修正・変更をし直してください。
       • それまでのserialfilter.txtが[cf_root]/{インスタンス(cfusion等)}/hf-updates/hf-2023-00015-330825/backup/lib に置かれていますが、そのファイルを元の場所に上書きするのではなく、cfusion/lib にあるserialfilter.txtに独自に修正・変更した内容を再度反映し直して ColdFusion を再起動してください。
          
5. Wddxのシリアライズ・デシリアライズの許可リスト（cfusion/lib にあるcfserialfilter.txt）を独自に修正・変更している場合は、このUpdateを適用するとデフォルトの状態に戻されます。
   • cfserialfilter.txtファイルの内容を独自に修正・変更している場合は、このUpdateを適用した後にバックアップからcfserialfilter.txtファイルを元の場所に置き直してください。
     • それまでのcfserialfilter.txtが[cf_root]/{インスタンス(cfusion等)}/hf-updates/hf-2023-00015-330825/backup/lib 内にファイルがバックアップされます。バックアップされたファイルを、[cf_root]/{インスタンス(cfusion等)}/lib内に置き直して ColdFusion を再起動してください。
        
6. 一つ前のUpdateで、CFCでリモートからのアクセスを許可しているメソッド（remote="yes"）の引数（パラメーター）の定義が厳格化されましたが、このUpdateを適用すると、リモート CFC 呼び出しのみに制限され、通常の (ローカル) メソッド呼び出しには適用されなくなりました。
   • Ajaxで自サーバーのCFCをJavaScriptで呼び出す場合などで、適用されなくなったようです
   • ただし、cfgridタグで、bind（Ajax）を使ってCFCのメソッドを呼び出すなどは、従来の書き方ではエラーになります。
     • 回避として呼び出し先のCFCのメソッドに<cfargument>で引数の定義を追加してください。
       • （変更前）※一部を抜粋
         <cffunction name="getData" access="remote" output="false">
             <cfargument name="page">
             <cfargument name="pageSize">
             <cfargument name="gridsortcolumn">
             <cfargument name="gridsortdirection">
         ↓
         （変更後）
         <cffunction name="getData" access="remote" output="false">
             <cfargument name="page">
             <cfargument name="pageSize">
             <cfargument name="gridsortcolumn">
             <cfargument name="gridsortdirection">
             <cfargument name="limit">
             <cfargument name="start">
             <cfargument name="_dc">

【注意２】

※Updateをアンインストールした際の注意事項として、二つ前のUpdate（2025年4月リリース）で確認された問題ですが念のためこのUpdateでも情報を記載をしておきます

ColdFusion 2023 Update 11や 2021 Update 17で xalan.jar ライブラリが 2.7.1 から 2.7.3 に更新されました。それ以降のUpdateを適用すると[cf_root]/{インスタンス(cfusion等)}/lib内のxalan.jarが置き換えられますが、Updateをアンインストールをした際に、xalan.jarが元に戻されずに削除されたままになる場合があるようです。

• xalan.jarが削除されると、ColdFusionの起動は行えるものの、一部の機能（例：ColdFusion Administratorの「パッケージマネージャー」の『設定』画面で、[変更を送信]ボタンを押しても真っ白な画面となるだけでログにはクラスが見つからないエラーが出力されます）
  • "Error","http-nio-8514-exec-9","04/28/25","15:43:02","cfadmin","Provider org.apache.xalan.processor.TransformerFactoryImpl not found インクルードまたは処理されたファイルの特定のシーケンス :C:\ColdFusion2021\cfusion\wwwroot\CFIDE\administrator\updates\_settings.cfm, line: 242"
    javax.xml.transform.TransformerFactoryConfigurationError: Provider org.apache.xalan.processor.TransformerFactoryImpl not found
        at java.xml/javax.xml.transform.FactoryFinder.newInstance(FactoryFinder.java:177)
        at java.xml/javax.xml.transform.FactoryFinder.find(FactoryFinder.java:212)
        at java.xml/javax.xml.transform.TransformerFactory.newInstance(TransformerFactory.java:126)
        at coldfusion.server.UpdateService$3.run(UpdateService.java:1113)
        at java.base/java.security.AccessController.doPrivileged(AccessController.java:310)
        at coldfusion.server.UpdateService.store(UpdateService.java:1107)
        at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.base/java.lang.reflect.Method.invoke(Method.java:566)
        at coldfusion.runtime.StructBean.invoke(StructBean.java:509)
        at coldfusion.runtime.CfJspPage._invoke(CfJspPage.java:4438)
        at coldfusion.runtime.CfJspPage._invoke(CfJspPage.java:4290)
        at cf_settings2ecfm615695583._factor2(/CFIDE/administrator/updates/_settings.cfm:242)
        at cf_settings2ecfm615695583._factor3(/CFIDE/administrator/updates/_settings.cfm:165)
        at cf_settings2ecfm615695583._factor10(/CFIDE/administrator/updates/_settings.cfm:157)
        at cf_settings2ecfm615695583.runPage(/CFIDE/administrator/updates/_settings.cfm:1)
• cfspreadsheetの動作などでも問題が発生するようです
  • https://tracker.adobe.com/#/view/CF-4226427
     
• （対応案）
  • Update をアンインストールした後のバージョンを確認します
    • 2023 Update 11(2023.0.11.330706)～14(2023.0.14.330784) の場合は、xalan.jar のバージョン 2.7.3 を[cf_root]/{インスタンス(cfusion等)}/lib内に手動で配置します
    • それよりも前のUpdateの場合は、2.7.1の xalan.jar のバージョン 2.7.1 を[cf_root]/{インスタンス(cfusion等)}/lib内に手動で配置します
  • インターネットで公開されているサイトからダウンロードして、[cf_root]/{インスタンス(cfusion等)}/lib 内に配置します（技術サポートをご契約されている方はサポートにお問い合わせください）
    • https://archive.apache.org/dist/xalan/xalan-j/binaries/
      • xalan.jar のバージョン 2.7.1は「xalan-j_2_7_1-bin-2jars.zip」を、2.7.3は「xalan-j_2_7_3-bin.zip」ダウンロード、解凍し、xalan.jarのみ[cf_root]/{インスタンス(cfusion等)}/lib内にコピーしてください
        • 2.7.1: 1,760,887 バイト、2.7.3: 3,455,761 バイト
        • xalan.jarのバージョンを確認したい場合→こちらの一般ユーザー様の記事を参考にしてください
    • xalan.jar を[cf_root]/{インスタンス(cfusion等)}/lib 内に配置したら、ColdFusion Application Serverサービスを再起動してください
  • 上手くいかない時は、再度 Update をインストールしてください

【注意３】

いくつかのUpdateをスキップしてUpdate 15を適用した際は、過去のUpdate で行われた変更による影響が生じる場合があります。代表的なものを以下に記載しますので、該当される場合は、以前のUpdateの参考情報ページも確認してください。

Update 7: 暗黙のスコープ処理の変更の影響：一部変数の暗黙スコープ処理の変更について
Update 8: 関数のデフォルト暗号アルゴリズムの変更の影響：暗号アルゴリズムのデフォルトの変更について
Update 13: cfencodeを使用して暗号化したソースコード・プリコンパイル済みコードがある場合の影響：Update 13の参考情報ページ
Update 14: CFCでリモートからのアクセスを許可しているメソッド（access="remote"を指定しているメソッド）の引数の定義の整合性が厳しくなったほか、スケジュールタスクの設定で実行結果をパブリッシュ（ファイルに書き出し）を有効にしている場合は書き出し先のパスをpathfilter.jsonファイルに指定する必要があるなどの影響：Update 14の参考情報ページ

※過去のUpdateで、パッケージが更新されたことによってUpdate適用後にエラーが発生した報告がありました。このUpdateを適用した際に以下のようなエラーが発生した場合は、【注意１】の1.に記載したキャッシュの削除を行うことで解消されます。
　・Enterprise版でOracle の処理でエラー、データソースの設定で接続確認が行えない等（Update 11でのOracleパッケージの更新が影響）
　・cfpdfや一部ドキュメント系の処理でエラーが発生（Update 14でのpdfパッケージや、document, htmltopdfパッケージの更新が影響）

【注意４】
Update 15ではWebサーバーコネクタの更新は行われていませんが、Update 4以前の環境からUpdate 15を適用した際は、Update 15を適用した後、接続コネクタの「再定義（一旦コネクタを削除し、再登録）」を行ってください。
webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
※参考記事「ColdFusionクリニック」
http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html

【注意】コネクタ関連に修正や設定の変更や追加を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください（特にApacheと接続している場合は、cf_scriptsのエイリアスの変更などを mod_jk_vhost.conf に行っていますので、再登録後にその設定を再び反映させるのを忘れないようにしてください）。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定がバックアップされていますので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。

【注意】Apacheとの接続を行っている際は、再定義（一旦コネクタを削除し、再登録）によって、再び 503エラーが発生するようになります。接続コネクタの再定義によりそれらの値が初期値に戻るためです。コネクタの再登録後に変更設定をやり直してください。Webサーバー（Apache等）と接続後、.cfmページのリクエストが503エラーになる

攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態でも外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行わないためです

【注意５】
アドビでは、セキュリティへの備えが必要となるサイトでColdFusionを使用する 場合は、ColdFusionが使用するJavaを最新のリビジョンにすることを推奨しています。UpdateにはJavaの更新は含まれないため、Updateとは別にJavaのインストールとColdFusionのJVM設定の変更が必要となります。サポートするJavaのバージョンやインストール方法・JVM設定の変更方法については、以下の FAQ をご確認ください。

ColdFusionがサポートするJavaについて

ColdFusionが使用するJVMを変更する方法について（再更新）

また、アドビでは、ColdFusion セキュリティ ページに概要が記載されているセキュリティ構成設定を確認するとともに、それぞれのロックダウン ガイドを適用することを推奨しています。    

ColdFusion 2023 Lockdown Guide

※記事中の「サーバー自動ロックダウン」インストーラーについては、強力なセキュリティ設定をインストール・ウィザード形式でステップで行っていける半面、「ColdFusionの実行ユーザー」の変更や「ファイルシステムのアクセス許可の変更によりwebルート以下の書き込みの制限」、「Webサーバー設定」の変更など、既存の運用に影響を生じることが考えられます。そのため、実稼働環境に導入する前に、すべての推奨事項を分離されたテスト環境でテストすることが強く推奨されています。

上記のロックダウンガイドに沿って手動で設定を変更していくことなども検討してください。以下のFAQも参考にしてください

サーバーのロックダウンについての参考情報

【注意６】

cfreportのエラーはUpdate 11での修正リストに以下のように補足付きで説明がされています。

ColdFusion（2023 リリース）アップデート 11
より抜粋 
(CF-4212391)
cfreport が正常に機能しません。次のエラーメッセージが表示されます。
行 4、文字 326 にエラーがあります : net.sf.jasperreports.engine.xml.JasperDesignFactory
問題が引き続き断続的に発生する場合は、Felix キャッシュをクリアし、ColdFusion を再起動してください。

Update 11以降でもまれに同じエラーの発生が報告されており、上記の対応（Felixキャッシュのクリア）のみではエラーの解消が不完全な場合がある模様です。
Update 15でエラーの報告はありませんが、cfreportを使用した際に同じエラーが発生した場合は、presentation パッケージをアンインストールして回避を行ってください。

原因となっているpresentationパッケージをアンインストールする方法となります。presentationパッケージは古い機能（主にFlashベースのプレゼンテーションを作成していたcfpresentationタグの機能）です。cfreportと違ってcfpresentationは利用実績も無く、このパッケージをアンインストールしてもcfpresentationが使えなくなる以外に問題は生じません。

1. ColdFusion Administratorにログインして、「パッケージマネージャー」の画面を開きます
2. 「インストール済みのパッケージ」の項目を展開して、「presentation」パッケージを選択して「アンインストール」を行います
3. アンインストール後、ColdFusion 2023 Application Serverサービスを再起動します

【補足】

• Update 15にはUpdate 1～14の修正も含まれていますので、個々にひとつずつUpdateを適用していく必要はありません。
• Update 15でTomcatのバージョンが更新され、 9.0.106 になります。
• Update 15では、adminapi,administrator,axis,document,exchange,htmltopdf,image,pdf,presentation,print,report,saml,scheduler,search,sharepoint,spreadsheetパッケージが更新されます。
• Updateについて、後から補足や既知の問題に関する情報が追加される場合があります。それらは、英語のUpdateページに掲載されますので、Update適用の際には英語ページを優先して確認してください。
  https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-15.html