ColdFusion 2023 アップデート 13 についての参考情報

【注意１】

このUpdateでは、セキュリティ情報に記載されている問題に関する修正や、cfencodeによるプリコンパイルされたファイルがデフォルトで実行できなくなるなどの制限が追加されています。また、Updateが提供された後に確認された問題もありますので、それらのリストをここに記載します。リストは随時更新します。

1. cfencodeが廃止され、cfencodeを使用して暗号化したソースコードもデフォルトで実行できなくなりました
   • 暗号化したソースコードを実行するには
     「-Dcoldfusion.cfencode.decryption.enable=true」をJVM引数に追加します。（↑Update 13について）
2. プリコンパイルされたCFMファイルがあり、それが実行されなくなった場合は
   「-Dcoldfusion.compiler.block.bytecode=false」をJVM引数に追加します。（↑Update 13について）
3. このUpdateでは、cfusion/lib にあるserialfilter.txtファイルが変更されたものに置き換えられます。
   • serialfilter.txtファイルの内容を独自に修正・変更している場合は、再度置き換えられたファイルを修正・変更をし直してください。
     • それまでのserialfilter.txtが[cf_root]/{インスタンス(cfusion等)}\hf-updates\hf-2023-00013-330759\backup\lib に置かれていますが、そのファイルを上記の場所に上書きするのではなく、cfusion/lib にあるserialfilter.txtにカスタマイズした内容を反映してください。（↑Update 13について）
4. Wddxのシリアライズ・デシリアライズの許可リスト（cfserialfilter.txt）を独自に修正・変更している場合は、デフォルトの状態に戻されます。
   • cfserialfilter.txtはこのUpdateでは変更されていないので、バックアップから元に戻してください（↓【注意1-4】）
5. cfhtmltopdfを使用している場合、このUpdateを適用すると動作しなくなる場合があります。
   • 再び動作させるためには、手動でキャッシュの削除を行ってください（↓【注意1-5】）
6. このUpdateでは、Add-on サーバーへの接続をipアドレスレベルで制限するフィルターが追加されていますが、Updateが構成ファイル（jetty-ipaccess.xml）の配置に失敗している場合は、Add-onサーバーの起動に失敗します。
   • この問題に該当した場合は、手動でjetty-ipaccess.xmlファイルを配置してください（↓【注意1-6】）
7. その他、今回のUpdateを適用してから何らかの問題が発生した場合
   • ColdFusion Administratorにログインして「パッケージマネージャー」画面を開き、コアとパッケージが正しくアップデートされていることを確認してください。
     • 動かない機能がAdministratorの項目にある場合（例：htmltopdf→データとサービス:PDFサービス）その項目を開いた際にエラーが発生しないことを確認してください
   • 一旦ColdFusionを停止して、以下の場所にあるキャッシュを削除してください。削除後にColdFusionを起動して問題が解消されるかを確認してください
     • [cf_root]/{インスタンス(cfusion等)}\bin 内の felix-cache フォルダをフォルダごと削除
     • [cf_root]/{インスタンス(cfusion等)}\wwwroot\WEB-INF\cfclasses 内の *.classファイルをすべて削除

【注意１-4】

Wddxのシリアライズ・デシリアライズの許可リスト（cfserialfilter.txt）に手動でリストの追加や変更を行った場合、Update を適用したことによって追加した項目が削除されて、デフォルトの状態に戻されます。そのため、Update 13を適用した際にバックアップされた場所からそれらファイルを再び元の位置に戻してください。

※Update 13を適用すると、[cf_root]\{インスタンス(cfusion等)}\hf-updates\hf-2023-00013-330759\backup\lib 内にファイルがバックアップされます。バックアップされたファイルを、[cf_root]\{インスタンス(cfusion等)}\lib内に置き直してください。

【注意１-5】

このUpdateではcfhtmltopdfの動作にいくつか問題が生じることを確認しています。確認した問題についてここにリストします

• Update を適用すると htmltopdfパッケージが削除される
  • 一部の環境でこの問題が発生しました。ColdFusion Administratorにログインして「パッケージマネージャー」画面を開き、「使用可能なパッケージ」の項目を展開して htmltopdfパッケージを選び、インストールしてください
• cfhtmltopdfを使用するページを実行すると、画面が真っ白（もしくはHTTP500エラー）となる
  • ColdFusionのexception.logなどに、java.lang.NoClassDefFoundError: coldfusion/document/DocumentScopeが出力されている場合は、パッケージのキャッシュを削除してください
    • [cf_root]/{インスタンス(cfusion等)}\bin 内の felix-cache フォルダをフォルダごと削除
• このUpdateを適用すると、PDFgが動作しているAdd-onサーバーの起動に失敗します
  • 次の【注意1-6】の内容に沿って、不足しているxmlファイルを手動で設置してください

【注意１-6】

Add-on サーバーへの接続をipアドレスレベルで制限するフィルターが追加されていますが、その構成ファイル（jetty-ipaccess.xml）の配置に失敗している場合は、Add-onサーバーの起動に失敗します。その場合は、以下の手順でjetty-ipaccess.xmlファイルを配置してAdd-onサーバーを再起動してください。

1. 以下の内容をコピーしてjetty-ipaccess.xmlファイルを作成し、[cf_root]/cfusion/jetty/etc内に保存します

   <?xml version="1.0"?>
   <!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure_9_3.dtd">
   
   <!-- =============================================================== -->
   <!-- The IP Access Handler                                           -->
   <!-- =============================================================== -->
   
   <Configure id="Server" class="org.eclipse.jetty.server.Server">
       <Call name="insertHandler">
           <Arg>
               <New id="IPAccessHandler" class="org.eclipse.jetty.server.handler.IPAccessHandler">
                   <Set name="white">
                       <Array type="String">
                           <Item></Item>
                       </Array>
                   </Set>
                   <Set name="black">
                       <Array type="String">
                           <Item></Item>
                       </Array>
                   </Set>
                   <Set name="whiteListByPath">false</Set>
               </New>
           </Arg>
       </Call>
   </Configure>

2. ColdFusion 2023 Application ServerとAdd-onサーバーを停止します。
3. Add-onサーバーを先に起動します
4. Add-onサーバーの起動を確認したら、ColdFusion 2023 Application Serverを起動します

• jetty-ipaccess.xmlファイルについては、cfhtmltopdfタグの英語ページに追加された情報を確認してください

【注意２】Update 7未満の環境からUpdate 13を適用した際は、Update 7の暗黙のスコープ処理の変更やUpdate 8の関数のデフォルト暗号アルゴリズムの変更の影響がないかを事前にテスト環境等で確認を行うなど、必要に応じた対処を行ってください。暗黙のスコープ処理の変更については、Update 7の参考情報ページ、および Update 8の参考情報ページ、または、以下のそれぞれのFAQを確認してください。

Update 7で変更：一部変数の暗黙スコープ処理の変更について
Update 8で変更：暗号アルゴリズムのデフォルトの変更について

【注意３】
Update 13ではWebサーバーコネクタの更新は行われていませんが、Update 4以前の環境からUpdate 13を適用した際は、Update 13を適用した後、接続コネクタの「再定義（一旦コネクタを削除し、再登録）」を行ってください。
webサーバー設定ツールを起動し、既存のwebサーバーとの接続設定を全て削除します。削除後は、再び前回と同様の設定でWebサーバーとの接続を行って下さい
※「Webサーバー設定ツール」の起動方法についてのColdFusionマニュアル
https://helpx.adobe.com/jp/coldfusion/configuring-administering/web-server-management.html#WebServerManagement-Webserverconfiguration
※参考記事「ColdFusionクリニック」
http://forum.samuraiz.co.jp/cfclinic/foundation/003_wsconfig.html

【注意】コネクタ関連に修正や設定の変更や追加を行っている場合は、接続コネクタの再定義によりそれらの値が初期値に戻りますので、コネクタの再登録後に変更設定をやり直してください（特にApacheと接続している場合は、cf_scriptsのエイリアスの変更などを mod_jk_vhost.conf に行っていますので、再登録後にその設定を再び反映させるのを忘れないようにしてください）。接続コネクタの追加や削除時に{cf_install_home}/config/wsconfig/backup フォルダに既存の設定がバックアップされていますので、バックアップしたそれらファイルの内容と比較して、変更を行って下さい。

【注意】Apacheとの接続を行っている際は、再定義（一旦コネクタを削除し、再登録）によって、再び 503エラーが発生するようになります。接続コネクタの再定義によりそれらの値が初期値に戻るためです。コネクタの再登録後に変更設定をやり直してください。Webサーバー（Apache等）と接続後、.cfmページのリクエストが503エラーになる

攻撃者からのリスクを軽減するために、ColdFusion 2016以降は内部Webサーバーを使用したAdministratorへのアクセスが強く推奨され、デフォルトの状態でも外部Webサーバーを経由したAdministratorへのアクセスがブロックされています。外部Webサーバーを使用（経由）した Administratorへのアクセスは推奨されておらず、推奨されていない機能に関連する問題が発生した場合メーカーはサポートを行わないためです

【注意４】
アドビでは、セキュリティへの備えが必要となるサイトでColdFusionを使用する 場合は、ColdFusionが使用するJavaを最新のリビジョンにすることを推奨しています。UpdateにはJavaの更新は含まれないため、Updateとは別にJavaのインストールとColdFusionのJVM設定の変更が必要となります。サポートするJavaのバージョンやインストール方法・JVM設定の変更方法については、以下の FAQ をご確認ください。

ColdFusionがサポートするJavaについて

ColdFusionが使用するJVMを変更する方法について（再更新）

また、アドビでは、ColdFusion セキュリティ ページに概要が記載されているセキュリティ構成設定を確認するとともに、それぞれのロックダウン ガイドを適用することを推奨しています。    

ColdFusion 2023 Lockdown Guide

※記事中の「サーバー自動ロックダウン」インストーラーについては、強力なセキュリティ設定をインストール・ウィザード形式でステップで行っていける半面、「ColdFusionの実行ユーザー」の変更や「ファイルシステムのアクセス許可の変更によりwebルート以下の書き込みの制限」、「Webサーバー設定」の変更など、既存の運用に影響を生じることが考えられます。そのため、実稼働環境に導入する前に、すべての推奨事項を分離されたテスト環境でテストすることが強く推奨されています。

上記のロックダウンガイドに沿って手動で設定を変更していくことなども検討してください。以下のFAQも参考にしてください

サーバーのロックダウンについての参考情報

【注意５】

cfreportのエラーはUpdate 11での修正リストに以下のように補足付きで説明がされています。

ColdFusion（2023 リリース）アップデート 11
より抜粋 
(CF-4212391)
cfreport が正常に機能しません。次のエラーメッセージが表示されます。
行 4、文字 326 にエラーがあります : net.sf.jasperreports.engine.xml.JasperDesignFactory
問題が引き続き断続的に発生する場合は、Felix キャッシュをクリアし、ColdFusion を再起動してください。

Update 11以降でもまれに同じエラーの発生が報告されており、上記の対応（Felixキャッシュのクリア）のみではエラーの解消が不完全な場合がある模様です。
cfreportを使用した際に同じエラーが発生した場合は、presentation パッケージをアンインストールして回避を行ってください。

原因となっているpresentationパッケージをアンインストールする方法となります。cfreportはColdFusion 2016で非互換およびサポート外となっていますが、presentationパッケージも同様の古い機能（主にFlashベースのプレゼンテーションを作成していたcfpresentationタグの機能）です。cfreportと違ってcfpresentationは利用実績も無く、このパッケージをアンインストールしてもcfpresentationが使えなくなる以外に問題は生じません。

1. ColdFusion Administratorにログインして、「パッケージマネージャー」の画面を開きます
2. 「インストール済みのパッケージ」の項目を展開して、「presentation」パッケージを選択して「アンインストール」を行います
3. アンインストール後、ColdFusion 2023 Application Serverサービスを再起動します

【補足】

• Update 13にはUpdate 1～12の修正も含まれていますので、個々にひとつずつUpdateを適用していく必要はありません。
• Update 13のTomcatのバージョンはUpdate 9～12と同様 9.0.93 です。
• Update 13では、htmltopdf,ccs,administrator,ajaxパッケージが更新されます。
• Updateについて、後から補足や既知の問題に関する情報が追加される場合があります。それらは、英語のUpdateページに掲載されますので、Update適用の際には英語ページを優先して確認してください。
  https://helpx.adobe.com/coldfusion/kb/coldfusion-2023-update-13.html