バグ ID
最終更新日 :
2022年1月18日
ColdFusion(2018 リリース)アップデート 10
注意:
アップデート 8 を適用せずにアップデート 10 を適用する場合は、アップデート 8 のインストール後の手順に従ってください。
注:アップデート 8 を既に使用している場合は、アップデート 10 をすぐにインストールできます。
注意:
ColdFusion Administrator でアップデートする場合:
証明書に署名を行うコードが最近変更されため、ColdFusion(2018 リリース)にアップデートできるバージョンはアップデート 4 以降になりました。
これは、アップデートの前提条件となります。
以下のアップデートは累積的なもので、以前のアップデートがすべて含まれています。以前のアップデートを行っていない場合、最新のアップデートを適用することで、以前のアップデートも適用されます。また、スキップしたアップデートで行われた変更をメモしておいてください。
以前のアップデートをインストールするには、「ColdFusion(2018 リリース)のアップデート」を参照してください。
新機能および変更された機能
ColdFusion(2018年リリース)アップデート 10(リリース日:2020年7月14日)は、セキュリティ情報 APSB20-43 に記載されている脆弱性とその他の問題を解決しています。
CAR の展開
セキュリティ上の理由から、car ファイルの展開後にファイルを削除することを強くおすすめします。
これに合わせて、アーカイブウィザードの UI にテキストを追加しました。
修正されたバグ
|
|
説明 |
要素 |
|---|---|---|
|
Redis で予期しないメモリの問題が発生します。このアプリケーションは、ColdFusion(2018 リリース)アップデート 5 と AWS マネージドサービス上の Redis 5.0.5 で実行されます。 |
キャッシュ |
|
|
Performance Monitoring Toolset でサーバーに対する監視が有効になっていると、cfthread タグは断続的に実行されません。 |
Performance Monitoring Toolset |
|
|
ColdFusion のアップデート後、一部のアプリケーションで予期しない動作が発生します。 |
セキュリティ |
|
|
一部のページを開始するときに、StackOverflowError 例外が断続的に発生します。 |
セキュリティ |
|
|
一定の期間内に Redis に対する呼び出しが数多く発生します。 |
Performance Monitoring Toolset |
|
|
proxyserver を使用した CFHTTP 呼び出しでエラー 404 が発生します。 |
HTTP |
前提条件
- 64 ビットコンピューターでは、64 ビット版 ColdFusion の 64 ビット JRE を使用します。
- ColdFusion サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。スタンドアロンインストールの場合は jvm.config の下のシステムプロパティ、JEE インストールの場合は対応するスクリプトファイルを使用してプロキシ設定を指定します。
- http.proxyHost
- http.proxyPort
- http.proxyUser
- http.proxyPassword
- JEE アプリケーションサーバー上で実行している ColdFusion の場合、アップデートをインストールする前に、すべてのアプリケーションサーバーインスタンスを停止します。
インストール
このアップデートをインストールする方法については、「 サーバー 更新」セクションを参照してください。アップデートに関する質問については、この FAQ をご覧ください。
- アップデートはColdFusion インスタンスの Administrator か、コマンドラインオプションでインストールできます。
- Windows ユーザーは、「スタート/すべてのプログラム/Adobe/Coldfusion 2018/Administrator」を使用して ColdFusion Administrator を起動できます。
- Microsoft 8.1、Windows 、Windows 10、Windows Server R2 2012、および Windows Server 2016 のユーザーは、「管理者として実行」オプションを使用して wsconfig ツール({cf_install_home}/{instance_name}/runtime/bin にある)を起動する必要があります。
- 「ダウンロードおよびインストール」オプションを使用してアップデートをインストールするときに、次のエラーが表示された場合、フォルダー {cf_install_home}/{instance_name}/hf_updates に書き込み権限があることを確認します。「{cf_install_home}/{instance_name}/hf-updates/hotfix_010.properties のファイルで書き込みファイル操作を実行するときにエラーが発生しました。」
- コネクタ設定ファイルは、{cf_install_home}/config/ wsconfig /backup にバックアップされます。コネクタの再設定後、workers.properties ファイルに対して行われたカスタム変更をすべて元に戻します。
アップデートの手動インストール
- このリンクをクリックして、アップデート JAR をダウンロードします。
- ダウンロードした JAR で、以下のコマンドを実行します。ColdFusion サービスを開始したり停止する特権と ColdFusion ルートディレクトリへのフルアクセスを持つ必要があります。
Windows:<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-010-320417.jar
Linux ベースのプラットフォーム:<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-010-320417.jar
ダウンロードした JAR の実行には、ColdFusion にバンドルされている JRE を必ず使用してください。スタンドアローン ColdFusion の場合、これは <cf_root>/jre/bin にあります。
ColdFusion サービスおよび他の設定済み Web サーバーを再起動する権限を持つユーザーアカウントからアップデートをインストールします 。
アプリケーションを手動で更新する方法については、このヘルプ記事をご覧ください。
インストール後
注意:
このアップデートの適用後、ColdFusion のビルド番号は 2018,0,10,320417
になるはずです。
インストール後は、コネクタを再ビルドまたは再設定することをおすすめします。
注:これは、アップデート 8 を適用せずにアップデート 10 を適用した場合の説明です。
Web サイトを表示したときに Error 503 または Error 403 が発生した場合は、「トラブルシューティング手順」を参照してください。
サーバーの自動ロックダウンの適用
アップデート 10 をインストールした後(事前に設定されたコネクタを使用)、自動ロックダウンインストーラーでサーバーをロックダウンすると、Web ページにアクセスしたときに Error 403 forbidden が発生する場合があります。
この問題を解決するには、次の手順に従います。
- workers.properties ファイルのシークレットが server.xml のシークレットに一致していることを確認します。
- シークレットが一致していない場合は、workers.properties ファイルのシークレットを server.xml ファイルにペーストします。
- ColdFusion Server を再起動して変更を有効にします。
ファイルの場所
|
ファイル |
場所 |
|---|---|
|
server.xml |
{cf.instance.home}\runtime\conf |
|
server.xml の AJP コネクタ |
AJP コネクタのプロトコル属性は AJP/1.3 に設定されています。 次に例を示します。 <Connector port="8018" protocol="AJP/1.3" packetSize="65535" redirectPort="8451" tomcatAuthentication="false" maxThreads="500" connectionTimeout="60000" secret=”abcd” /> |
|
server.xml のシークレット |
server.xml のシークレット値は、属性名が secret のコネクタノードにあります。 次に例を示します。 <Connector port="8018" protocol="AJP/1.3" packetSize="65535" redirectPort="8451" tomcatAuthentication="false" maxThreads="500" connectionTimeout="60000" secret=”abcd” /> |
|
IIS の workers.properties |
{cf.home}/config/wsconfig/<magic_folder_number> |
|
Apache の workers.properties |
APACHE_HOME/conf/ |
|
workers.properties のシークレット |
worker.cfusion.secret=<secret> |
アンインストール
アップデートをアンインストールするには、以下のいずれかの操作を行います。
- ColdFusion Administrator で、「サーバーアップデート/アップデート/インストール済みアップデート」に移動して「アンインストール」をクリックします。
- コマンドプロンプトからアップデートのアンインストーラーを実行します。例:java -jar {cf_install_home}/{instance_home}/hf_updates/hf-2018-00010-320417/uninstall/uninstaller.jar
上記のアンインストールオプションを使用してもアップデートをアンインストールできない場合、アンインストーラーが破損している可能性があります。ただし、次の操作を実行すれば、手動でアップデートをアンインストールできます。
- {cf_install_home}/{instance_name}/lib/updates からアップデート jar を削除します。
- {cf_install_home}/{instance_name}/hf-updates/{hf-2018-00010-320417}/backup ディレクトリから {cf_install_home}/{instance_name}/ にすべてのフォルダーをコピーします。
