- Home
- » よくある質問(FAQ)
- » ColdFusion9情報
- » ColdFusion 9 にセキュリティアップデート(APSB14-23)を適用する参考手順
注意)本ページは、手順の参考として、『ColdFusion Security Hotfix APSB14-23 (http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb14-23.html)』のページを部分的に日本語で紹介しているものです。本ページの内容の正確さや最新さを保証するものではありません。本ページの内容と上記の英文ページとの間に齟齬や矛盾があった場合には、オリジナルの英文ページを優先いたします。
この参考手順をお読みになる前に
手順内の ColdFusionホームディレクトリ{ColdFusion-Home}の位置について
- サーバー設定:{ColdFusion-Home}
- マルチサーバー設定:{JRun-Home}/servers/{YourServer}/cfusion-ear/cfusion-war/
- J2EE設定:{cfusion-ear-Home}/cfusion-war/
注意
- セキュリティホットフィックスファイルには、過去のセキュリティ修正も含まれています。そのため、以下の点に注意が必要です。
- 今回のセキュリティ修正だけでなく、過去のセキュリティ修正の影響によって、制限が強化されたり以前と動作が異なる場合があります。下記の参考情報を参考の上、(特に今回初めてセキュリティホットフィックスを適用する場合などは)該当する処理があるかどうかの確認や対応等を行って下さい。
- 手順の中で指示されている通り、以前に適用した「セキュリティホットフィックス」ファイルを取り除く事を忘れないようにして下さい。
- 以前のセキュリティホットフィックスを取り除かないでおくとColdFusion再起動後にエラー等が発生する原因となります。
- 以前に適用した「セキュリティホットフィックス」ファイルを取り除く際、誤って「累積ホットフィックス」ファイルを取り除かないように注意して下さい。ColdFusion 9.0.xの場合、累積ホットフィックスのファイル名は、「chf」から始まる.jarファイル名です。
- 「累積ホットフィックス」ファイルは、手順通りに配置していれば、「セキュリティホットフィクス」ファイルの配置場所と同じフォルダに置いています。
- サーバー設定: {ColdFusion-Home}/lib/updates
- マルチサーバー設定・J2EE設定: {ColdFusion-Home}/WEB-INF/cfusion/lib/updates
- ダウンロードしたホットフィックスファイルには、修正されたファイル・フォルダのみ含まれています。既存のCFIDEフォルダやWEB-INFフォルダを名前を変えて置き換えるだけでは正しく適用できません。既存のフォルダに上書きする形で修正ファイル・フォルダのインストールを行って下さい。
- 手順の指示に従い、必ず該当フォルダのバックアップを行ってからパッチを適用(上書き)して下さい。バックアップを取っておけば、パッチを適用した後に何らかの問題が発覚してパッチをアンインストールしたい時に、以前の状態に戻すことができます。
- ダウンロードしたホットフィックスファイル(.zipファイル)を解凍する際には以下の点もご注意下さい。
参考手順①(セクション1: 2013年11月にリリースされたセキュリティアップデート(APSB13-27)を適用している環境の場合)
2013年5月のセキュリティアップデート(APSB13-27)を適用済みの場合は、パッチファイルの置き換えと、差分ファイルの差し替え作業を行います。
- 参考手順① - ColdFusion 9.0.0の場合
- 作業用ディレクトリを作成し CF9.zip と CFIDE-9.zipをダウンロードして zipファイルを解凍して下さい。
- 作業用ディレクトリはColdFusionインストールフォルダ以外の任意の場所を推奨します。
- ColdFusion Administratorへログインし、「システム情報」ページを開きます(画面右上の " i " のアイコンから移動できます)。「システム情報」の『バージョン』が ColdFusion 9,0,0,xxxxxx であることを確認して下さい。
- 9,0,1 や 9,0,2 となっている場合は、この手順を中断し、該当するバージョンのファイルのダウンロードからやり直して下さい。
- 「システム情報」ページの「更新ファイル」に、解凍したCF9.zipの lib/updates フォルダに含まれる hf900-00013.jar を指定します。
- [サーバーのブラウズ]ボタンを押しても、Javaアプレットのエラー等によって「サーバーのファイルの選択」ダイヤログが開かない場合は、「更新ファイル」の入力欄に手動でhf900-00013.jarファイルの場所を指定するか、あるいは、エクスプローラー等でhf900-00013.jarを直接 {ColdFusion-Home}/lib/updates(サーバー構成の場合)、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updates(マルチサーバー設定・J2EE設定の場合) に配置して下さい。
- [変更を送信]ボタンを押します。ファイルがColdFusionサーバーの{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesに配置されます。
- ColdFusionのサービス(プロセス)を停止して下さい。
- 前回の「セキュリティホットフィックス」ファイルを取り除きます(手順1の作業用ディレクトリなどに移動して下さい)。対象ファイルは{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesのhf900-00012.jarとなります。
- もし、それ以前の「セキュリティホットフィックス」ファイル(hf900-00001.jar~hf900-00011.jar)が存在していた場合は、そのファイルも取り除いて下さい。古いファイルが混在しているとエラーが発生する原因となります。ただし、誤って累積ホットフィックス(chf900-0000x.jar)を削除しないで下さい。
- ColdFusion9のwwwroot、または、webサーバーに配置されている「CFIDE」フォルダをバックアップします
- バックアップしたフォルダはwebルート以外の場所(手順1の作業用ディレクトリなどに)置いて下さい。
- 解凍したCFIDE-9.zipのCFIDEフォルダを既存のCFIDEフォルダにマージ(上書きコピー)します。
- ColdFusionのサービス(プロセス)を起動して下さい。
- マルチインスタンスで稼働している場合は、手順2~9を全てのインスタンスで行って下さい。
- 参考手順① - ColdFusion 9.0.1の場合
- 作業用ディレクトリを作成し CF901.zip と CFIDE-901.zipをダウンロードして zipファイルを解凍して下さい。
- 作業用ディレクトリはColdFusionインストールフォルダ以外の任意の場所を推奨します。
- ColdFusion Administratorへログインし、「システム情報」ページを開きます(画面右上の " i " のアイコンから移動できます)。「システム情報」の『バージョン』が ColdFusion 9,0,1,xxxxxx であることを確認して下さい。
- 9,0,0 や 9,0,2 となっている場合は、この手順を中断し、該当するバージョンのファイルのダウンロードからやり直して下さい。
- 「システム情報」ページの「更新ファイル」に、解凍したCF901.zipの lib/updates フォルダに含まれる hf901-00012.jar を指定します。
- [サーバーのブラウズ]ボタンを押しても、Javaアプレットのエラー等によって「サーバーのファイルの選択」ダイヤログが開かない場合は、「更新ファイル」の入力欄に手動でhf901-00012.jarファイルの場所を指定するか、あるいは、エクスプローラー等でhf901-00012.jarを直接 {ColdFusion-Home}/lib/updates(サーバー構成の場合)、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updates(マルチサーバー設定・J2EE設定の場合) に配置して下さい。
- [変更を送信]ボタンを押します。ファイルがColdFusionサーバーの{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesに配置されます。
- ColdFusionのサービス(プロセス)を停止して下さい。
- 前回の「セキュリティホットフィックス」ファイルを取り除きます(手順1の作業用ディレクトリなどに移動して下さい)。対象ファイルは{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesのhf901-00011.jarとなります。
- もし、それ以前の「セキュリティホットフィックス」ファイル(hf901-00001.jar~hf901-00010.jar)が存在していた場合は、そのファイルも取り除いて下さい。古いファイルが混在しているとエラーが発生する原因となります。ただし、誤って累積ホットフィックス(chf901-0000x.jar)を削除しないで下さい。
- ColdFusion9のwwwroot、または、webサーバーに配置されている「CFIDE」フォルダをバックアップします
- バックアップしたフォルダはwebルート以外の場所(手順1の作業用ディレクトリなどに)置いて下さい。
- 解凍したCFIDE-901.zipのCFIDEフォルダを既存のCFIDEフォルダにマージ(上書きコピー)します。
- ColdFusionのサービス(プロセス)を起動して下さい。
- マルチインスタンスで稼働している場合は、手順2~9を全てのインスタンスで行って下さい。
- 参考手順① - ColdFusion 9.0.2の場合
- 作業用ディレクトリを作成し CF902.zip と CFIDE-902.zipをダウンロードして zipファイルを解凍して下さい。
- 作業用ディレクトリはColdFusionインストールフォルダ以外の任意の場所を推奨します。
- ColdFusion Administratorへログインし、「システム情報」ページを開きます(画面右上の " i " のアイコンから移動できます)。「システム情報」の『バージョン』が ColdFusion 9,0,2,xxxxxx であることを確認して下さい。
- 9,0,0 や 9,0,1 となっている場合は、この手順を中断し、該当するバージョンのファイルのダウンロードからやり直して下さい。
- 「システム情報」ページの「更新ファイル」に、解凍したCF902.zipの lib/updates フォルダに含まれる hf902-00007.jar を指定します。
- [サーバーのブラウズ]ボタンを押しても、Javaアプレットのエラー等によって「サーバーのファイルの選択」ダイヤログが開かない場合は、「更新ファイル」の入力欄に手動でhf902-00007.jarファイルの場所を指定するか、あるいは、エクスプローラー等でhf902-00007.jarを直接 {ColdFusion-Home}/lib/updates(サーバー構成の場合)、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updates(マルチサーバー設定・J2EE設定の場合) に配置して下さい。
- [変更を送信]ボタンを押します。ファイルがColdFusionサーバーの{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesに配置されます。
- ColdFusionのサービス(プロセス)を停止して下さい。
- 前回の「セキュリティホットフィックス」ファイルを取り除きます(手順1の作業用ディレクトリなどに移動して下さい)。対象ファイルは{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesのhf902-00006.jarとなります。
- もし、それ以前の「セキュリティホットフィックス」ファイル(hf902-00001.jar~hf902-00005.jar)が存在していた場合は、そのファイルも取り除いて下さい。古いファイルが混在しているとエラーが発生する原因となります。ただし、誤って累積ホットフィックス(chf902-0000x.jar)を削除しないで下さい。
- ColdFusion9のwwwroot、または、webサーバーに配置されている「CFIDE」フォルダをバックアップします
- バックアップしたフォルダはwebルート以外の場所(手順1の作業用ディレクトリなどに)置いて下さい。
- 解凍したCFIDE-902.zipのCFIDEフォルダを既存のCFIDEフォルダにマージ(上書きコピー)します。
- ColdFusionのサービス(プロセス)を起動して下さい。
- マルチインスタンスで稼働している場合は、手順2~9を全てのインスタンスで行って下さい。
参考手順②(セクション2: 2013年11月にリリースされたセキュリティアップデート(APSB13-27)を適用していない場合)
2013年11月のセキュリティアップデート(APSB13-17)を適用していない場合は、パッチファイルを最新の物に置き換える作業と、過去のセキュリティアップデートがマージされた一連の修正ファイルの差し替え作業を行います。
- 参考手順② - ColdFusion 9.0.0の場合
- 作業用ディレクトリを作成し CF9.zip と CFIDE-9.zipをダウンロードして zipファイルを解凍して下さい。
- 作業用ディレクトリはColdFusionインストールフォルダ以外の任意の場所を推奨します。
- ColdFusion Administratorへログインし、「システム情報」ページを開きます(画面右上の " i " のアイコンから移動できます)。「システム情報」の『バージョン』が ColdFusion 9,0,0,xxxxxx であることを確認して下さい。
- 9,0,1 や 9,0,2 となっている場合は、この手順を中断し、該当するバージョンのファイルのダウンロードからやり直して下さい。
- 「システム情報」ページの「更新ファイル」に、解凍したCF9.zipのlib/updatesフォルダに含まれる hf900-00013.jar を指定します。
- [サーバーのブラウズ]ボタンを押しても、Javaアプレットのエラー等によって「サーバーのファイルの選択」ダイヤログが開かない場合は、「更新ファイル」の入力欄に手動でhf900-00013.jarファイルの場所を指定するか、あるいは、エクスプローラー等でhf900-00013.jarを直接 {ColdFusion-Home}/lib/updates(サーバー構成の場合)、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updates(マルチサーバー設定・J2EE設定の場合) に配置して下さい。
- [変更を送信]ボタンを押します。ファイルがColdFusionサーバーの{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesに配置されます。
- ColdFusionのサービス(プロセス)を停止して下さい。
- 以前の「セキュリティホットフィックス」ファイルが残っている場合は取り除きます(手順1の作業用ディレクトリなどに移動して下さい)。対象ファイルは{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesのhf900-00001.jar~hf900-00012.jarです。
- 古いファイルが混在しているとエラーが発生する原因となりますので必ず取り除いて下さい。ただし、誤って累積ホットフィックス(chf900-0000x.jar)を削除しないで下さい。
- ColdFusion9のwwwroot、または、webサーバーに配置されている「CFIDE」フォルダをバックアップします
- バックアップしたフォルダはwebルート以外の場所(手順1の作業用ディレクトリなどに)置いて下さい。
- 解凍したCFIDE-9.zipのCFIDEフォルダを既存のCFIDEフォルダにマージ(上書きコピー)します。
- 解凍ソフトによっては、/CFIDE/CFIDE/ のように同じ名前のフォルダが重なって解凍される場合があります。既存のフォルダ構成に合わせて修正ファイルが正しく上書きされるようにマージして下さい。
- {ColdFusion-Home}/wwwroot/WEB-INF フォルダに移動し、「WEB-INF」フォルダをバックアップします。
- バックアップしたフォルダはwebルート以外の場所(手順1の作業用ディレクトリなどに)置いて下さい。
- 解凍したCF9.zipに含まれているWEB-INF.zipも解凍し、解凍したWEB-INFフォルダを既存のWEB-INFにマージ(上書きコピー)します。
- WEB-INFフォルダは、 {ColdFusion-Home}/wwwroot(サーバー構成の場合)、または{ColdFusion-Home}(マルチサーバー設定・J2EE設定の場合) にあります。
- {ColdFusion-Home}/lib (サーバー構成の場合) 、または{ColdFusion-Home}/WEB-INF/cfusion/lib(マルチサーバー設定・J2EE設定の場合) フォルダに移動し、下記のファイルが存在する場合はバックアップを取ります。
- log4j.properties, validation.properties, ESAPI.properties, flex-messaging-common.jar, flex-messaging-core.jar, commons-fileupload-1.2.jar, esapi-2.0_rc10.jar
- 解凍したCF9.zipのlibフォルダに含まれるすべてのファイルを、既存の{ColdFusion-Home}/lib (サーバー構成の場合) 、または{ColdFusion-Home}/WEB-INF/cfusion/lib (マルチサーバー設定・J2EE設定の場合)に上書きコピーします。
- 2013年7月にリリースされたセキュリティアップデート(APSB13-19)を適用していない方は、下記の手順に従ってJRunのパッチを適用します。
http://cfassociates.samuraiz.co.jp/index.cfm/faq/coldfusion9/cf9-security-update-apsb13-19/
- ColdFusionのサービス(プロセス)を起動して下さい。
- マルチインスタンスで稼働している場合は、手順2~14(13は除く)を全てのインスタンスで行って下さい。
- 参考手順② - ColdFusion 9.0.1の場合
- 作業用ディレクトリを作成し CF901.zip と CFIDE-901.zipをダウンロードして zipファイルを解凍して下さい。
- 作業用ディレクトリはColdFusionインストールフォルダ以外の任意の場所を推奨します。
- ColdFusion Administratorへログインし、「システム情報」ページを開きます(画面右上の " i " のアイコンから移動できます)。「システム情報」の『バージョン』が ColdFusion 9,0,1,xxxxxx であることを確認して下さい。
- 9,0,0 や 9,0,2 となっている場合は、この手順を中断し、該当するバージョンのファイルのダウンロードからやり直して下さい。
- 「システム情報」ページの「更新ファイル」に、解凍したCF901.zipの lib/updates フォルダに含まれる hf901-00012.jar を指定します。
- [サーバーのブラウズ]ボタンを押しても、Javaアプレットのエラー等によって「サーバーのファイルの選択」ダイヤログが開かない場合は、「更新ファイル」の入力欄に手動でhf901-00012.jarファイルの場所を指定するか、あるいは、エクスプローラー等でhf901-00012.jarを直接 {ColdFusion-Home}/lib/updates(サーバー構成の場合)、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updates(マルチサーバー設定・J2EE設定の場合) に配置して下さい。
- [変更を送信]ボタンを押します。ファイルがColdFusionサーバーの{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesに配置されます。
- ColdFusionのサービス(プロセス)を停止して下さい。
- 前回の「セキュリティホットフィックス」ファイルを取り除きます(手順1の作業用ディレクトリなどに移動して下さい)。対象ファイルは{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesのhf901-00001.jar~hf901-00011.jarです。
- 古いファイルが混在しているとエラーが発生する原因となりますので必ず取り除いて下さい。ただし、誤って累積ホットフィックス(chf901-0000x.jar)を削除しないで下さい。
- ColdFusion9のwwwroot、または、webサーバーに配置されている「CFIDE」フォルダをバックアップします
- バックアップしたフォルダはwebルート以外の場所(手順1の作業用ディレクトリなどに)置いて下さい。
- 解凍したCFIDE-901.zipのCFIDEフォルダを既存のCFIDEフォルダにマージ(上書きコピー)します。
- 解凍ソフトによっては、/CFIDE/CFIDE/ のように同じ名前のフォルダが重なって解凍される場合があります。その場合は、既存のフォルダ構成に合わせて修正ファイルが正しく上書きされるようにマージして下さい。
- {ColdFusion-Home}/wwwroot/WEB-INF フォルダに移動し、「WEB-INF」フォルダをバックアップします。
- バックアップしたフォルダはwebルート以外の場所(手順1の作業用ディレクトリなどに)置いて下さい。
- 解凍したCF901.zipに含まれているWEB-INF.zipも解凍し、解凍したWEB-INFフォルダを既存のWEB-INFにマージ(上書きコピー)します。
- WEB-INFフォルダは、 {ColdFusion-Home}/wwwroot(サーバー構成の場合)、または{ColdFusion-Home}(マルチサーバー設定・J2EE設定の場合) にあります。
- {ColdFusion-Home}/lib (サーバー構成の場合) 、または{ColdFusion-Home}/WEB-INF/cfusion/lib(マルチサーバー設定・J2EE設定の場合) フォルダに移動し、下記のファイルが存在する場合はバックアップを取ります。
- log4j.properties, validation.properties, ESAPI.properties, flex-messaging-common.jar, flex-messaging-core.jar, commons-fileupload-1.2.jar, esapi-2.0_rc10.jar
- 解凍したCF901.zipのlibフォルダに含まれるすべてのファイルを、既存の{ColdFusion-Home}/lib (サーバー構成の場合) 、または{ColdFusion-Home}/WEB-INF/cfusion/lib (マルチサーバー設定・J2EE設定の場合)に上書きコピーします。
- 2013年7月にリリースされたセキュリティアップデート(APSB13-19)を適用していない方は、下記の手順に従ってJRunのパッチを適用することをお勧めします。
http://cfassociates.samuraiz.co.jp/index.cfm/faq/coldfusion9/cf9-security-update-apsb13-19/
- ColdFusionのサービス(プロセス)を起動して下さい。
- マルチインスタンスで稼働している場合は、手順2~14(13は除く)を全てのインスタンスで行って下さい。
- 参考手順② - ColdFusion 9.0.2の場合
- 作業用ディレクトリを作成し CF902.zip と CFIDE-902.zipをダウンロードして zipファイルを解凍して下さい。
- 作業用ディレクトリはColdFusionインストールフォルダ以外の任意の場所を推奨します。
- ColdFusion Administratorへログインし、「システム情報」ページを開きます(画面右上の " i " のアイコンから移動できます)。「システム情報」の『バージョン』が ColdFusion 9,0,2,xxxxxx であることを確認して下さい。
- 9,0,0 や 9,0,1 となっている場合は、この手順を中断し、該当するバージョンのファイルのダウンロードからやり直して下さい。
- 「システム情報」ページの「更新ファイル」に、解凍したCF902.zipの lib/updates フォルダに含まれる hf902-00007.jar を指定します。
- [サーバーのブラウズ]ボタンを押しても、Javaアプレットのエラー等によって「サーバーのファイルの選択」ダイヤログが開かない場合は、「更新ファイル」の入力欄に手動でhf902-00007.jarファイルの場所を指定するか、あるいは、エクスプローラー等でhf902-00007.jarを直接 {ColdFusion-Home}/lib/updates(サーバー構成の場合)、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updates(マルチサーバー設定・J2EE設定の場合) に配置して下さい。
- [変更を送信]ボタンを押します。ファイルがColdFusionサーバーの{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesに配置されます。
- ColdFusionのサービス(プロセス)を停止して下さい。
- 前回の「セキュリティホットフィックス」ファイルを取り除きます(手順1の作業用ディレクトリなどに移動して下さい)。対象ファイルは{ColdFusion-Home}/lib/updates、または{ColdFusion-Home}/WEB-INF/cfusion/lib/updatesのhf902-00001.jar~hf902-00006.jarとなります。
- 古いファイルが混在しているとエラーが発生する原因となりますので必ず取り除いて下さい。ただし、誤って累積ホットフィックス(chf902-0000x.jar)を削除しないで下さい。
- ColdFusion9のwwwroot、または、webサーバーに配置されている「CFIDE」フォルダをバックアップします
- バックアップしたフォルダはwebルート以外の場所(手順1の作業用ディレクトリなどに)置いて下さい。
- 解凍したCFIDE-902.zipのCFIDEフォルダを既存のCFIDEフォルダにマージ(上書きコピー)します。
- 2013年7月にリリースされたセキュリティアップデート(APSB13-19)を適用していない方は、下記の手順に従ってJRunのパッチを適用することをお勧めします。
http://cfassociates.samuraiz.co.jp/index.cfm/faq/coldfusion9/cf9-security-update-apsb13-19/
- ColdFusionのサービス(プロセス)を起動して下さい。
- マルチインスタンスで稼働している場合は、手順2~10(9は除く)を全てのインスタンスで行って下さい。
記事公開日:2014年10月16日
最終更新日:2014年10月16日