ColdFusion(2021 リリース)アップデート 8
新機能および変更された機能
以下のアップデートは累積的なもので、以前のアップデートがすべて含まれています。以前のアップデートを行っていない場合、最新のアップデートを適用することで、以前のアップデートも適用されます。また、スキップしたアップデートで行われた変更をメモしておいてください。
以前のアップデートをインストールするには、ColdFusion(2021 リリース)のアップデートを参照してください。
ColdFusion(2021 リリース)アップデート 8(リリース日:2023年7月14日(PT))は、任意のコード実行につながる可能性のある重大な脆弱性を解決します。
詳しくは、セキュリティ情報 APSB23-41 を参照してください。
ColdFusion では、使用できる IP アドレスを指定することで、IP アドレスからの ColdFusion サーバーへのアクセスを制限するオプションが Administrator に用意されています。
サーバーで IP 制限を実施してサーバーのセキュリティを高めることをお勧めします。制限の適用について詳しくは、こちらのドキュメントを参照してください。
制限の実施後、CVE-2023-38205 の脆弱性が解決されます。
アップデート 6 を使用している場合は、バンドルのフォルダーをダウンロードする必要はありません。アップデート 8 を直接インストールできます。
ColdFusion JDK の要件
COLDFUSION 2021(バージョン 2021.0.0.323925)以降
アプリケーションサーバーの場合
JEE インストールで、使用しているアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルに JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**」を設定します。
例:
- Apache Tomcat アプリケーションサーバー:Catalina.bat/sh ファイルの JAVA_OPTS を編集します
- WebLogic アプリケーションサーバー:startWeblogic.cmd ファイルの JAVA_OPTIONS を編集します
- WildFly/EAP アプリケーションサーバー:standalone.conf ファイルの JAVA_OPTS を編集します
スタンドアロンインストールではなく、JEE インストールの ColdFusion に JVM フラグを設定します。
前提条件
- 64 ビットコンピューターでは、64 ビット版 ColdFusion の 64 ビット JRE を使用します。
- ColdFusion サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。スタンドアロンインストールの場合は jvm.config の下のシステムプロパティ、JEE インストールの場合は対応するスクリプトファイルを使用してプロキシ設定を指定します。
- http.proxyHost
- http.proxyPort
- http.proxyUser
- http.proxyPassword
- JEE アプリケーションサーバー上で実行している ColdFusion の場合、アップデートをインストールする前に、すべてのアプリケーションサーバーインスタンスを停止します。
インストール
ColdFusion Administrator
パッケージマネージャー/パッケージで、コアサーバーの「アップデートを確認」をクリックします。
アップデートが検出されたら、「更新」をクリックします。コアパッケージが前回のアップデートから更新されます。
アップデートが必要なインストール済みパッケージがすべて更新されます。
ColdFusion を再起動して変更を有効にします。
オフラインモードでのアップデートの手動インストール
- このリンクから、ホットフィックスインストーラーをダウンロードします。
- すべての ColdFusion サーバーインスタンスからアクセスできる場所に、パッケージを解凍します。
- cfusion およびそのすべての子インスタンスの cfusion/lib/neo_updates.xml で「packagesurl」を更新して、ダウンロードしたフォルダー内にある <InstallerReposityUnzippedPath>/bundles/bundlesdependency.json を指すようにします。
コアサーバーのホットフィックスのインストールに成功しても、パッケージにエラーや問題がある場合は、パッケージマネージャークライアント(cfusion\bin\cfpm.bat/cfpm.sh)でパッケージをインストールまたは更新することができます。
ColdFusion サービスを開始または停止する特権と ColdFusion ルートディレクトリへのフルアクセス権が必要です。
- Windows:<cf_root>\jre\bin\java.exe -jar <InstallerReposityUnzippedPath>\bundles\updateinstallers\hotfix-008-330144.jar
- Linux ベースのプラットフォーム:<cf_root>/jre/bin/java -jar <InstallerReposityUnzippedPath>/bundles/updateinstallers/hotfix-008-330144.jar
ダウンロードした JAR の実行には、ColdFusion にバンドルされている JRE を必ず使用してください。スタンドアローン ColdFusion の場合、これは <cf_root>/jre/bin にあります。
ColdFusion サービスおよび他の設定済み web サーバーを再起動する権限を持つユーザーアカウントからアップデートをインストールします。
アプリケーションを手動で更新する方法について詳しくは、このヘルプ記事を参照してください。
コアパッケージを更新すると、ダウンロードされたすべてのパッケージが更新されます。また、任意のパッケージを更新すると、コアパッケージと残りのパッケージも更新されます。ColdFusion(2021 リリース)がアップデート 1 の状態にある場合、任意のインスタンスの Administrator を使用してアップデート 8 をインストールすると、存在する他のすべてのインスタンスのコアも更新されます。
同様に、同じインスタンスから更新プログラムをアンインストールすると、一緒に更新されたインスタンスからもアップデートがアンインストールされます。
インストール後
このアップデートの適用後、ColdFusion のビルド番号は 2021.0.08.330144
になるはずです。
このアップデートを適用した後、それ以前に適用されていたカスタムホットフィックスがあれば、それらを再インストールする必要があります。ホットフィックスはフォルダー /ColdFusion2021/cfusion/hf-updates/hf-2021-00008-330144/backup/lib/updates に含まれています。
アンインストール
アップデートをアンインストールするには、以下のいずれかの操作を行います。
- ColdFusion Administrator で、「サーバーアップデート/アップデート/インストール済みアップデート」に移動して「アンインストール」をクリックします。
- コマンドプロンプトからアップデートのアンインストーラーを実行します。例:java -jar {cf_install_home}/{instance_home}/hf_updates/hf-2021-00008-330144/uninstall/uninstaller.jar
上記のアンインストールオプションを使用してもアップデートをアンインストールできない場合、アンインストーラーが破損している可能性があります。ただし、次の操作を実行すれば、手動でアップデートをアンインストールできます。
- {cf_install_home}/{instance_name}/lib/updates からアップデート jar を削除します。
- {cf_install_home}/{instance_name}/hf-updates/{hf-2021-00008-330144}/backup ディレクトリから {cf_install_home}/{instance_name}/ にすべてのフォルダーをコピーします。
