ColdFusion(2018 リリース)アップデート 13
ColdFusion には、Log4j を悪用するおそれのある既知の攻撃ベクターはありません。
アップデート 8 を適用せずにアップデート 13 を適用する場合は、アップデート 8 のインストール後の手順に従ってください。
ColdFusion Administrator でアップデートする場合:
証明書に署名を行うコードが最近変更されため、ColdFusion(2018 リリース)にアップデートできるバージョンはアップデート 4 以降になりました。
これは、アップデートの前提条件となります。
以下のアップデートは累積的なもので、以前のアップデートがすべて含まれています。以前のアップデートを行っていない場合、最新のアップデートを適用することで、以前のアップデートも適用されます。また、スキップしたアップデートで行われた変更をメモしておいてください。
以前のアップデートをインストールするには、「ColdFusion(2018 リリース)のアップデート」を参照してください。
新機能および変更された機能
ColdFusion(2018 リリース)アップデート 13(リリース日:2021年12月17日(PT))では、CVE-2021-44228 と CVE-2021-45046 に記載されている脆弱性に対処しています。
ColdFusion での Log4j の脆弱性についてに記載されている緩和手順を既に適用してある場合でも、このアップデートを適用することを強くお勧めします。
アップデート:12 月のアップデートを適用した後、Log4j 2.x の JAR を Log4j 2.17 の JAR にアップグレードする必要があります。詳細については、こちらのドキュメントを参照してください。
アドビでは、スキャナーが cf-logging.jar に脆弱としてフラグ付けすることを認識しています。脆弱性の分析が完了すれば、ColdFusion インストールは考え得るあらゆる攻撃ベクターから確実に保護されています。とは言え、脆弱性のあるクラスは今後のリリースでは削除される予定です。
前提条件
- 64 ビットコンピューターでは、64 ビット版 ColdFusion の 64 ビット JRE を使用します。
- ColdFusion サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。スタンドアロンインストールの場合は jvm.config の下のシステムプロパティ、JEE インストールの場合は対応するスクリプトファイルを使用してプロキシ設定を指定します。
- http.proxyHost
- http.proxyPort
- http.proxyUser
- http.proxyPassword
- JEE アプリケーションサーバー上で実行している ColdFusion の場合、アップデートをインストールする前に、すべてのアプリケーションサーバーインスタンスを停止します。
インストール
このアップデートのインストール方法については、「サーバー更新」セクションをご覧ください。アップデートに関する質問については、この FAQ をご覧ください。
- アップデートはColdFusion インスタンスの Administrator か、コマンドラインオプションでインストールできます。
- Windows ユーザーは、「スタート/すべてのプログラム/Adobe/Coldfusion 2018/Administrator」を使用して ColdFusion Administrator を起動できます。
- Windows 10、Windows Server R2 2012、および Windows Server 2019 のユーザーは、「管理者として実行」オプションを使用して wsconfig ツール({cf_install_home}/{instance_name}/runtime/bin にある)を起動する必要があります。
- 「ダウンロードおよびインストール」オプションを使用してアップデートをインストールするときに、次のエラーが表示された場合、フォルダー {cf_install_home}/{instance_name}/hf_updates に書き込み権限があることを確認します。「{cf_install_home}/{instance_name}/hf-updates/hotfix_013.properties のファイルで書き込みファイル操作を実行するときにエラーが発生しました。」
- コネクタ設定ファイルは、{cf_install_home}/config/wsconfig/backup にバックアップされます。コネクタの再設定後、workers.properties ファイルに行われたカスタム変更をすべて元に戻します。
アップデートの手動インストール
- このリンクをクリックして、アップデート JAR をダウンロードします。
- ダウンロードした JAR で、以下のコマンドを実行します。ColdFusion サービスを開始したり停止する特権と ColdFusion ルートディレクトリへのフルアクセスを持つ必要があります。
Windows:<cf_root>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-013-329786.jar
Linux ベースのプラットフォーム:<cf_root>/jre/bin/java -jar <jar-file-dir>/hotfix-013-329786.jar
ダウンロードした JAR の実行には、ColdFusion にバンドルされている JRE を必ず使用してください。スタンドアローン ColdFusion の場合、これは <cf_root>/jre/bin にあります。
ColdFusion サービスおよび他の設定済み Web サーバーを再起動する権限を持つユーザーアカウントからアップデートをインストールします。
アプリケーションを手動で更新する方法については、このヘルプ記事をご覧ください。
インストール後
このアップデートの適用後、ColdFusion のビルド番号は 2018,0,13,329786
になるはずです。
インストール後に、コネクタを再ビルドまたは再設定する必要があります。
Web サイトを表示したときに Error 503 または Error 403 が発生した場合は、トラブルシューティング手順を参照してください。
アンインストール
アップデートをアンインストールするには、以下のいずれかの操作を行います。
- ColdFusion Administrator で、「サーバーアップデート/アップデート/インストール済みアップデート」に移動して「アンインストール」をクリックします。
- コマンドプロンプトからアップデートのアンインストーラーを実行します。例:java -jar {cf_install_home}/{instance_home}/hf_updates/hf-2018-00013-329786/uninstall/uninstaller.jar
上記のアンインストールオプションを使用してもアップデートをアンインストールできない場合、アンインストーラーが破損している可能性があります。ただし、次の操作を実行すれば、手動でアップデートをアンインストールできます。
- {cf_install_home}/{instance_name}/lib/updates からアップデート jar を削除します。
- {cf_install_home}/{instance_name}/hf-updates/{hf-2018-00013-329786}/backup ディレクトリから {cf_install_home}/{instance_name}/ にすべてのフォルダーをコピーします。
