ColdFusion（2021 リリース）アップデート 21

セキュリティに関する推奨事項

すべてのセキュリティアップデートについて、ColdFusion のセキュリティページで説明されているセキュリティ設定を適用し、それぞれのロックダウンガイドを確認することをお勧めします。  

• ColdFusion 2023 ロックダウンガイド
• ColdFusion 2021 ロックダウンガイド

ColdFusion（2021 リリース）アップデート 21 には、任意のファイル読み取り、コード実行、権限昇格、セキュリティ機能のバイパスに関連する脆弱性を軽減する重要なセキュリティ修正が含まれています。

また、このアップデートでは、基礎となる Tomcat エンジンがバージョン 9.0.106 にアップグレードされ、以前のアップデートで報告されていたいくつかの問題が解決されています。

詳しくは、セキュリティ情報 APSB25-69 を参照してください。

このアップデートの新しい JVM フラグ

• -Dcoldfusion.xmlrpc.allowExternalEntities

フラグについて詳しくは、ColdFusion（2023 リリース）の JVM 引数を参照してください。

OEM のアップグレード

リモートメソッドの変更

以前のアップデートで行われたリモートメソッドの変更は、リモート CFC 呼び出しのみに限定されるようになり、通常の（ローカル）メソッド呼び出しには適用されなくなりました。

このアップデートのバグ修正

• ロックダウンインストーラーは、CFIDE/lockdown ディレクトリにある ColdFusion コンポーネント（lockdown.cfc）を使用して、セットアッププロセスを完了していました。以前のアップデートで導入されたセキュリティの変更により、実行中にコンポーネント内のリモートメソッドがブロックされると、インストーラーが予期せず動作しました。
• 以前のアップデートでは、リモートメソッドで returnformat と queryformat を使用すると、すべての引数を明示的に宣言することが必要になった変更のためにエラーが発生しました。
• ログファイルの警告メッセージに誤植があります。「bytecodeexecutionpaths」ではなく、「bytecodeexectuionpaths」と表示されます。
• Windows 以外のシステムでは、IP アドレス 127.0.0.1 が許可リスト jetty/etc/jetty-ipaccess.xml に含まれていないので、ColdFusion Administrator からローカル PDF サービスを編集すると、サービスが削除されます。ColdFusion をインストールして最新のアップデートを適用した後、PDF サービスページに移動し、ローカル設定を変更すると、サービスが更新されるのではなく削除されます。予期される動作は、サービスを削除せずに構成を保存することです。 
• CAR ファイルは cfusion/packages ディレクトリ内に明示的に配置する必要があるので、このディレクトリが存在しない場合、CAR（ColdFusion アーカイブ）のビルドプロセスが失敗します。ビルドは、見つからないディレクトリを自動的に作成するのではなく、エラーで終了します。パッケージフォルダーがまだ存在しない場合は、プロセスでパッケージフォルダーが作成される必要があります。 
• 「ログファイルに公開」オプションが有効になっている場合、スケジュールされたタスクが削除されることがあります。この問題は、ログが有効になっているスケジュールされたタスクを作成し、最新のアップデートを適用した後に発生します。例外を追加して ColdFusion を再起動しても、削除されたタスクは復元されません。
• 暗号化された PDF を作成できない場合があります。「NoClassDefFoundError: org.bouncycastle.asn1.DEREncodable」というエラーがログに表示され、BouncyCastle の Java クラス読み込みエラーで PDF 生成が中止されます。
• 前回のアップデートをインストールしてからアンインストールすると、cfspreadsheet 関数が機能しなくなります。元のインストールの一環として追加または変更されたわけではないにもかかわらず、JAR ファイル C:\ColdFusion2021\cfusion\lib\xalan.jar がアンインストール中に削除されました。
• <cfdocument> で、生成された PDF ファイルに登録済みフォントを埋め込めませんでした。フォントを登録した後でも、埋め込まれていない MS 明朝を使用することが出力 PDF のデフォルトになっていました。その結果、特に、MS 明朝フォントが含まれていない Linux などのシステムでは、日本語などの言語のテキストが表示されません。この修正により、登録されたフォントが PDF 出力に正しく埋め込まれるようになりました。

このリリースの既知の問題

• 以前のアップデートをインストールし、ORM を利用するページを読み込むと、例外が発生しました。アップデート 21 のインストール後に同じ問題が発生する場合は、回避策として次の手順に従います。
  • <cfusion>/lib ディレクトリに移動し、exportpackages.txt ファイルを開きます。
  • exportpackages.txt ファイルから javax.persistence エントリを削除します。
  • ファイルを保存します。
  • サーバーを停止し、Felix キャッシュをクリアして、サーバーを再起動します。
• 最新の ColdFusion アップデートを使用していて、次に該当する場合は、
  • 既に複数のインスタンスが設定されている
  • 新しいインスタンスを作成しようとしている

            新しいインスタンスまたは既存のインスタンスが正しく開始できない問題が発生する可能性があります。 この問題の回避策としては、各インスタンスの htmltopdf.properties ファイル（<cf_home>/cfusion/lib 内）を削除し、ColdFusion を再起動します。

ColdFusion JDK フラグの要件

COLDFUSION 2021（バージョン 2021.0.0.323925）以降

アプリケーションサーバーの場合   

JEE インストールでは、使用するアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルに 「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;」という JVM フラグを設定します。

例：   

• Apache Tomcat アプリケーションサーバー：Catalina.bat／sh ファイルの JAVA_OPTS を編集します   
• WebLogic アプリケーションサーバー：startWeblogic.cmd ファイルの JAVA_OPTIONS を編集します   
• WildFly／EAP アプリケーションサーバー：standalone.conf ファイルの JAVA_OPTS を編集します   

スタンドアロンインストールではなく、JEE インストールの ColdFusion に JVM フラグを設定します。  

前提条件

1. 64 ビットコンピューターでは、64 ビット版 ColdFusion の 64 ビット JRE を使用します。
2. ColdFusion サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。 スタンドアロンインストールの場合は jvm.config の下のシステムプロパティ、JEE インストールの場合は対応するスクリプトファイルを使用してプロキシ設定を指定します。
   • http.proxyHost
   • http.proxyPort
   • http.proxyUser
   • http.proxyPassword
3. JEE アプリケーションサーバー上で実行している ColdFusion の場合、アップデートをインストールする前に、すべてのアプリケーションサーバーインスタンスを停止します。

インストール

ColdFusion Administrator

パッケージマネージャー／パッケージで、コアサーバーの「アップデートを確認」をクリックします。

アップデートが検出されたら、「更新」をクリックします。 コアパッケージが前回のアップデートから更新されます。

アップデートが必要なインストール済みパッケージがすべて更新されます。

ColdFusion を再起動して変更を有効にします。

オフラインモードでのアップデートの手動インストール

1. このリンクから、ホットフィックスインストーラーをダウンロードします。
2. このリンクから packages zip ファイルをダウンロードし、その内容を、すべてのColdFusion サーバーインスタンスからアクセスできる場所に展開します。
3. cfusion およびそのすべての子インスタンスの cfusion/lib/neo_updates.xml で「packagesurl」を更新して、ダウンロードしたフォルダー内にある <InstallerReposityUnzippedPath>/bundles/bundlesdependency.json を指すようにします。

コアサーバーのホットフィックスのインストールに成功しても、パッケージにエラーや問題がある場合は、パッケージマネージャークライアント（cfusion\bin\cfpm.bat／cfpm.sh）でパッケージをインストールまたは更新することができます。

ColdFusion サービスを開始または停止する特権と ColdFusion ルートディレクトリへのフルアクセス権が必要です。

• Windows：<cf_root>\jre\bin\java.exe -jar <InstallerReposityUnzippedPath>\bundles\updateinstallers\hotfix-020-330407.jar
  
• Linux ベースのプラットフォーム：<cf_root>/jre/bin/java -jar  <InstallerReposityUnzippedPath>/bundles/updateinstallers/hotfix-020-330407.jar

ダウンロードした JAR の実行には、ColdFusion にバンドルされている JRE を必ず使用してください。 スタンドアローン ColdFusion の場合、これは <cf_root>/jre/bin にあります。

ColdFusion サービスおよび他の設定済み web サーバーを再起動する権限を持つユーザーアカウントからアップデートをインストールします。

アプリケーションの手動更新について詳しくは、このヘルプ記事を参照してください。

インストール後

アンインストール

アップデートをアンインストールするには、以下のいずれかの操作を行います。

• ColdFusion Administrator で、「サーバーアップデート／アップデート／インストール済みアップデート」に移動して「アンインストール」をクリックします。
• コマンドプロンプトからアップデートのアンインストーラーを実行します。 例：java -jar {cf_install_home}/{instance_home}/hf_updates/hf-2021-00020-330407/uninstall /uninstaller.jar

上記のアンインストールオプションを使用してもアップデートをアンインストールできない場合、アンインストーラーが破損している可能性があります。 ただし、次の操作を実行すれば、手動でアップデートをアンインストールできます。

1. {cf_install_home}/{instance_name}/lib/updates からアップデート jar を削除します。
2. {cf_install_home}/{instance_name}/hf-updates/{hf-2021-00020-330407}/backup ディレクトリから {cf_install_home}/{instance_name}/ にすべてのフォルダーをコピーします。

コネクタ設定

パッケージの更新