ColdFusion 2023 アップデート 9 についての参考情報

※本ページは、メーカーサイトの情報を部分的に抜粋して紹介していますが、参考情報としてのご紹介であり、内容の正確さや最新さ、推奨を保証するものではありません。また、本ページの内容とオリジナルの英文ページとの間に齟齬や矛盾があった場合(英文ページで情報が追加・変更された場合も含む)には、オリジナルの英文ページの情報を優先して下さい。


米国時間 2024年8月20日(日本時間8月21日(水))に ColdFusion 2023 Update 9が公開されました。このアップデートは、内部エンジンのTomcatの更新が行われています。


【注意1】Update 7未満の環境からUpdate 9を適用した際は、Update 7の暗黙のスコープ処理の変更やUpdate 8の関数のデフォルト暗号アルゴリズムの変更の影響がないかを事前にテスト環境等で確認を行うなど、必要に応じた対処を行ってください。暗黙のスコープ処理の変更については、Update 7の参考情報ページ、および Update 8の参考情報ページ、または、以下のそれぞれのFAQを確認してください。

Update 7で変更:一部変数の暗黙スコープ処理の変更について
Update 8で変更:暗号アルゴリズムのデフォルトの変更について

 

【注意2】

  • Wddxのシリアライズ・デシリアライズの許可リスト(cfserialfilter.txt)
  • 特定のJava クラスまたはパッケージを許可しないことでJavaデシリアライズをブロックするリスト(serialfilter.txt)

に手動でリストの追加や変更を行っている場合、Updateによって追加した項目が削除されたり、変更が元に戻されていないかを確認してください。

※Update 9を適用すると、[cf_root]\{インスタンス(cfusion等)}\hf-updates\hf-2023-00009-330677\backup\lib 内にファイルがバックアップされます。バックアップされたファイルと、Update 9適用後に[cf_root]\{インスタンス(cfusion等)}\lib内に置かれているファイルとを比較して、手動で作業した設定が削除されたりしている場合は、再び追加し直してください。

 

【注意3
Update 9ではWebサーバーコネクタの更新は行われていませんが、Update 4以前の環境からUpdate 9を適用した際は、Update 9を適用した後、接続コネクタの「再定義(一旦コネクタを削除し、再登録)」を行ってください。
webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
※参考記事「ColdFusionクリニック
http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html


【注意】コネクタ関連に修正や設定の変更や追加を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください(特にApacheと接続している場合は、cf_scriptsのエイリアスの変更などを mod_jk_vhost.conf に行っていますので、再登録後にその設定を再び反映させるのを忘れないようにしてください)。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定がバックアップされていますので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。

【注意】Apacheとの接続を行っている際は、再定義(一旦コネクタを削除し、再登録)によって、再び 503エラーが発生するようになります。接続コネクタの再定義によりそれらの値が初期値に戻るためです。コネクタの再登録後に変更設定をやり直してください。Webサーバー(Apache等)と接続後、.cfmページのリクエストが503エラーになる

    攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態でも外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用(経由)した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行わないためです

     

    【注意4】
    アドビでは、セキュリティへの備えが必要となるサイトでColdFusionを使用する 場合は、ColdFusionが使用するJavaを最新のリビジョンにすることを推奨しています。UpdateにはJavaの更新は含まれないため、Updateとは別にJavaのインストールとColdFusionのJVM設定の変更が必要となります。サポートするJavaのバージョンやインストール方法・JVM設定の変更方法については、以下の FAQ をご確認ください。

    ColdFusionがサポートするJavaについて

    ColdFusionが使用するJVMを変更する方法について(再更新)


    また、アドビでは、ColdFusion セキュリティ ページに概要が記載されているセキュリティ構成設定を確認するとともに、それぞれのロックダウン ガイドを適用することを推奨しています。    

    ColdFusion 2023 Lockdown Guide

    ※記事中の「サーバー自動ロックダウン」インストーラーについては、強力なセキュリティ設定をインストール・ウィザード形式でステップで行っていける半面、「ColdFusionの実行ユーザー」の変更や「ファイルシステムのアクセス許可の変更によりwebルート以下の書き込みの制限」、「Webサーバー設定」の変更など、既存の運用に影響を生じることが考えられます。そのため、実稼働環境に導入する前に、すべての推奨事項を分離されたテスト環境でテストすることが強く推奨されています。

    上記のロックダウンガイドに沿って手動で設定を変更していくことなども検討してください。以下のFAQも参考にしてください

    サーバーのロックダウンについての参考情報

     

    【補足】

    • Update 9にはUpdate 1~8の修正も含まれていますので、個々にUpdateを適用していく必要はありません。
    • Update 9を適用すると Tomcatのバージョンは9.0.93になります。
    • Update 9更新されたパッケージはありません。
    • Updateについて、後から補足や既知の問題に関する情報が追加される場合があります。それらは、英語のUpdateページに掲載されますので、Update適用の際には英語ページを優先して確認してください。
      https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-9.html

     

    アップデートの際の注意点
    • プロキシ環境下では、Updateを適用する前に、「パッケージマネージャー > 設定」でプロキシ設定を追加してください。
    • UpdateはColdFusion Administratorの「パッケージマネージャー」から行います。『コアサーバー』と更新対象の『インストール済みのパッケージ』の両方に更新の記載が表示されますが、『コアサーバー』の更新を行えば、Update対象の『インストール済みのパッケージ』も合わせて更新されます
      1. Updateの通知…「アップデートを自動的に確認」を有効にしていると、ログイン時に最新のUpdateを確認します。Updateが見つかった場合は、「コアサーバー▼」の横に数字マークが表示されます(※下記の画像はUpdate 2のときのものです)

        ↑「アップデートを自動的に確認」を無効にしている場合は、[アップデートを確認]ボタンを押して、アップデートの有無を確認してください
         
      2. 『コアサーバー』の更新を行う際に、そのUpdateを対象したパッケージの更新がある場合は、[ダウンロードしてインストール]ボタンを押した際に、確認ダイヤログに表示されます
        • パッケージが多数ある場合は、ボタンの表示が隠れてしまう場合があります。その場合はブラウザのズームを下げてください
        • Update処理が始まると、対象のパッケージは一旦アンインストールされ、そのあとに自動的に行われるColdFusionの再起動の中で更新後のパッケージのインストールを試みます。パッケージのURLにアクセスできなかった場合などは、そのパッケージが含まれない状態になりますので、手動でパッケージを追加してください。
           
      3. Updateのインストール中のステップは、旧バージョンと同じです。Update(コアサーバー)のインストールが終われば、自動で再起動されます。しばらく待つと、再起動されたメッセージが表示されますので、[OK]を押してください。
        • 時間が掛かりすぎた場合などは、タイムアウトすることもあります。「時間がかかりすぎています」のメッセージが表示された場合は[OK]ボタンを。何も表示されないor砂時計マークなどの場合は、ブラウザの更新を行ってください。ColdFusion Administratorのログインが表示されたらログインを行い、Updateが適用されたかどうかを確認してください
        • 本番環境など負荷が高い環境では、Update適用後に自動で行われるColdFusionの再起動がタイムアウトを起こすことがあります。その場合は、一旦ブラウザをリロードしてログインできる場合はログインしてUpdateが適用されたかどうかを確認してください。ColdFusionが起動していない場合は手動でColdFusionを起動し、起動後にAdministratorにログインしてUpdateが適用されたかどうかを確認してください
           
    • (注意)Unix環境では、手動でUpdateを適用した際は、そのUpdateを実行してユーザーで、新規フォルダやファイルが作成されます。また、再起動も手動でUpdateを実行したユーザーで行われる模様です。そのため、本来と異なる起動ユーザーでColdFusionが実行され、ファイル・フォルダの権限不足エラーなど、動作の障害や404エラーの発生を招くことがあります。この状態になった場合は、Update適用後に再起動された ColdFusion 2023を停止し、下記の手順を実施した後、改めて、通常の方法でColdFusionを起動してください
      【参考手順】
      1. ColdFusion を停止します
          [cf_root]/cfusion/bin/coldfusion stop
          [cf_root]/cfusion/jetty/cfjetty stop
      2. ColdFusionインストール配下のファイル・フォルダ権限を ColdFusion実行ユーザーに変更します
        例(sudoを利用):sudo chown -R [ColdFusion Runtime User] [Path to ColdFusion instance
      3. 次に /tmp/ フォルダ内に customcache.index と customcache.data ファイルが存在しないかを確認します。存在する場合、/tmp/customcache.index と /tmp/customcache.data のファイルがColdFusion実行ユーザーになっているかを確認し、異なるユーザー(アップデータ適用時のユーザー)の場合は、ColdFusion実行ユーザーに変更します
        例(sudoを利用):sudo chown -R [ColdFusion Runtime User] /tmp/customcache.*
      4. ColdFusion を起動します(OSのサービス起動コマンドで起動している場合はそちらで起動してください)
      5.   [cf_root]/cfusion/bin/coldfusion start
          [cf_root]/cfusion/jetty/cfjetty start (Jetty サービスを使用している場合)

    アップデートのポイント

    その他の情報がある場合は、確認次第、情報を追記・修正致します


    記事公開日:2024年08月21日
    最終更新日:2024年08月22日


    x

    Sample Modal Window

    This is just a sample…

    Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.

    Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.