ColdFusion（2021 リリース）アップデート 4

新機能および変更された機能

ColdFusion（2021 リリース）アップデート 4（リリース日：2022年5月10日（PT））は、セキュリティ情報 APSB22-22 に記載されている脆弱性に対処しています。

このリリースには、次のライブラリアップグレードも含まれています。

Tomcat 9.0.60
jQuery 3.6.0
jQuery UI 1.13.1
Log4j 2.17.2

メモ：古い Log4j JAR ファイルはバックアップフォルダーに格納されます。これらのファイルは削除できます。

アドビでは、スキャナーが cf-logging.jar に脆弱としてフラグ付けすることを認識しています。脆弱性の分析が完了すれば、ColdFusion インストールは考え得るあらゆる攻撃ベクターから確実に保護されています。

このリリースの既知の問題

ビルトインアドオンを含まない ColdFusion にアップデート 4 を適用すると、更新された log4j JAR ファイルを含んだ jetty フォルダーが作成され、これらの JAR ファイルをリモートのアドオンインストールで使用できます。
CFSetup の使用時にファイル権限の問題が発生した場合は、/opt/ColdFusion2021/config/cfsetup 内の cfsetup.sh ファイルを編集し、
ランタイムユーザーを ColdFusion のランタイムユーザーに設定します。
/opt/coldfusionadd-onservices などのデフォルトの場所にアドオンがインストールされていると、ホットフィックスのインストールが失敗し、ColdFusion に jetty がインストールされません。この問題を避けるには、jetty がインストールされている coldfusionadd-onservices フォルダーの名前を変更するか、jetty サービスをアンインストールします。

前提条件

64 ビットコンピューターでは、64 ビット版 ColdFusion の 64 ビット JRE を使用します。
ColdFusion サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。スタンドアロンインストールの場合は jvm.config の下のシステムプロパティ、JEE インストールの場合は対応するスクリプトファイルを使用してプロキシ設定を指定します。
- http.proxyHost
- http.proxyPort
- http.proxyUser
- http.proxyPassword
JEE アプリケーションサーバー上で実行している ColdFusion の場合、アップデートをインストールする前に、すべてのアプリケーションサーバーインスタンスを停止します。

インストール

ColdFusion Administrator

パッケージマネージャー／パッケージで、コアサーバーの「アップデートを確認」をクリックします。

アップデートが検出されたら、「更新」をクリックします。コアパッケージが前回のアップデートから更新されます。

アップデートが必要なインストール済みパッケージがすべて更新されます。

ColdFusion を再起動して変更を有効にします。

オフラインモードでのアップデートの手動インストール

このリンクから、ホットフィックスインストーラーをダウンロードします。アップデート 2 または 3 を使用している場合は、このホットフィックスを直接適用するか、次の手順に従います。
すべての ColdFusion サーバーインスタンスからアクセスできる場所にリポジトリを解凍します。
cfusion およびそのすべての子インスタンスの cfusion/lib/neo_updates.xml で「packagesurl」を更新して、ダウンロードしたフォルダー内にある <InstallerReposityUnzippedPath>/bundles/bundlesdependency.json を指すようにします。

コアサーバーのホットフィックスのインストールに成功しても、パッケージにエラーや問題がある場合は、パッケージマネージャークライアント（cfusion\bin\cfpm.bat／cfpm.sh）でパッケージをインストールまたは更新することができます。

ColdFusion サービスを開始または停止する特権と ColdFusion ルートディレクトリへのフルアクセス権が必要です。

Windows：<cf_root>\jre\bin\java.exe -jar <InstallerReposityUnzippedPath>\bundles\updateinstallers\hotfix-004-330004.jar
Linux ベースのプラットフォーム：<cf_root>/jre/bin/java -jar <InstallerReposityUnzippedPath>/bundles/updateinstallers/hotfix-004-330004.jar

ダウンロードした JAR の実行には、ColdFusion にバンドルされている JRE を必ず使用してください。スタンドアローン ColdFusion の場合、これは <cf_root>/jre/bin にあります。

ColdFusion サービスおよび他の設定済み web サーバーを再起動する権限を持つユーザーアカウントからアップデートをインストールします。

アプリケーションを手動で更新する方法について詳しくは、このヘルプ記事を参照してください。

注意：

コアパッケージを更新すると、ダウンロードされたすべてのパッケージが更新されます。また、任意のパッケージを更新すると、コアパッケージと残りのパッケージも更新されます。ColdFusion（2021 リリース）がアップデート 1 の状態にある場合、任意のインスタンスの Administrator を使用してアップデート 4 をインストールすると、存在する他のすべてのインスタンスのコアも更新されます。

同様に、同じインスタンスから更新プログラムをアンインストールすると、一緒に更新されたインスタンスからもアップデートがアンインストールされます。

注意：

cf_scripts フォルダーのマッピングを作成してある場合、ajax パッケージをダウンロードするには、ダウンロードした zip ファイルの内容を CF_SCRIPTS/scrips/ajax フォルダーにコピーする必要があります。

インストール後

注意：

このアップデートの適用後、ColdFusion のビルド番号は 2021.0.04.330004
になるはずです。

このアップデートを適用した後、それ以前に適用されていたカスタムホットフィックスがあれば、それらを再インストールする必要があります。ホットフィックスはフォルダー /ColdFusion2021/cfusion/hf-updates/hf-2021-00004-330004/backup/lib/updates に含まれています。

アンインストール

アップデートをアンインストールするには、以下のいずれかの操作を行います。

ColdFusion Administrator で、「サーバーアップデート／アップデート／インストール済みアップデート」に移動して「アンインストール」をクリックします。
コマンドプロンプトからアップデートのアンインストーラーを実行します。例：java -jar {cf_install_home}/{instance_home}/hf_updates/hf-2021-00004-330004/uninstall/uninstaller.jar

上記のアンインストールオプションを使用してもアップデートをアンインストールできない場合、アンインストーラーが破損している可能性があります。ただし、次の操作を実行すれば、手動でアップデートをアンインストールできます。

{cf_install_home}/{instance_name}/lib/updates からアップデート jar を削除します。
{cf_install_home}/{instance_name}/hf-updates/{hf-2021-00004-330004}/backup ディレクトリから {cf_install_home}/{instance_name}/ にすべてのフォルダーをコピーします。

コネクタ設定

2021 年アップデート	コネクタの再作成が必要
アップデート 4	いいえ
アップデート 3	いいえ。アップデート 2 でコネクタを既にアップグレードしてある場合は、コネクタを更新する必要はありません。
アップデート 2	はい
アップデート 1	はい