ColdFusion（2023 リリース）アップデート 15 テクニカルノート

ColdFusion（2023 リリース）アップデート 15

セキュリティに関する推奨事項

すべてのセキュリティアップデートについて、ColdFusion のセキュリティページで説明されているセキュリティ設定を適用し、それぞれのロックダウンガイドを確認することをお勧めします。  

警告 :

ColdFusion（2023 リリース）アップデート 15 では、Tomcat がバージョン 9.0.72 から 9.0.106 にアップグレードされました。このアップグレードには、Tomcat プロジェクトによる重要なバグ修正、パフォーマンス向上、セキュリティ強化が含まれています。

注意：

以下のアップデートは累積的なもので、以前のアップデートがすべて含まれています。以前のアップデートを行っていない場合、最新のアップデートを適用することで、以前のアップデートも適用されます。また、スキップしたアップデートで行われた変更をメモしておいてください。

新機能および変更された機能

ColdFusion（2023 リリース）アップデート 15 には、任意のファイル読み取り、コード実行、権限昇格、セキュリティ機能のバイパスに関連する脆弱性を軽減する重要なセキュリティ修正が含まれています。

また、このアップデートでは、基礎となる Tomcat エンジンがバージョン 9.0.106 にアップグレードされ、以前のアップデートで報告されていたいくつかの問題が解決されています。

詳しくは、セキュリティ情報 APSB25-69 を参照してください。

警告 :

ColdFusion サーバーインスタンスが中央管理型サーバー（CCS）にクライアントとして登録されている場合は、アップデート 3 の適用後、deletenode コマンドに続いて addnode を実行して、インスタンスを再登録する必要があります。 CCS ノードが子 ColdFusion インスタンスの場合、このステップは不要です。

このアップデートの新しい JVM フラグ

-Dcoldfusion.xmlrpc.allowExternalEntities

フラグについて詳しくは、ColdFusion（2021 リリース）の JVM 引数を参照してください。

OEM のアップグレード

ライブラリ	旧バージョン	更新バージョン
Tomcat	9.0.72	9.0.106
Apache POI	3.17, 4.1.2	5.4.1
Apache XMLBeans	3.1.0	5.3.0
Apache Commons IO	2.15.1	2.19.0
Apache Commons Compress	1.19	1.26.2

リモートメソッドの変更

以前のアップデートで行われたリモートメソッドの変更は、リモート CFC 呼び出しのみに限定されるようになり、通常の（ローカル）メソッド呼び出しには適用されなくなりました。

このアップデートのバグ修正

ロックダウンインストーラーは、CFIDE/lockdown ディレクトリにある ColdFusion コンポーネント（lockdown.cfc）を使用して、セットアッププロセスを完了していました。以前のアップデートで導入されたセキュリティの変更により、実行中にコンポーネント内のリモートメソッドがブロックされると、インストーラーが予期しない動作をしました。
以前のアップデートでは、リモートメソッドで returnformat と queryformat を使用すると、すべての引数を明示的に宣言することが必要になった変更のためにエラーが発生しました。
ログファイルの警告メッセージに誤植があります。「bytecodeexecutionpaths」ではなく、「bytecodeexectuionpaths」と表示されます。
Windows 以外のシステムでは、IP アドレス 127.0.0.1 が許可リスト jetty/etc/jetty-ipaccess.xml に含まれていないので、ColdFusion Administrator からローカル PDF サービスを編集すると、サービスが削除されます。ColdFusion をインストールして最新のアップデートを適用した後、PDF サービスページに移動し、ローカル設定を変更すると、サービスが更新されるのではなく削除されます。予期される動作は、サービスを削除せずに構成を保存することです。
CAR ファイルは cfusion/packages ディレクトリ内に明示的に配置する必要があるので、このディレクトリが存在しない場合、CAR（ColdFusion アーカイブ）のビルドプロセスが失敗します。ビルドは、見つからないディレクトリを自動的に作成するのではなく、エラーで終了します。パッケージフォルダーがまだ存在しない場合は、プロセスでパッケージフォルダーが作成される必要があります。
「ログファイルに公開」オプションが有効になっている場合、スケジュールされたタスクが削除されることがあります。この問題は、ログが有効になっているスケジュールされたタスクを作成し、最新のアップデートを適用した後に発生します。例外を追加して ColdFusion を再起動しても、削除されたタスクは復元されません。
暗号化された PDF を作成できない場合があります。「NoClassDefFoundError: org.bouncycastle.asn1.DEREncodable」というエラーがログに表示され、BouncyCastle の Java クラス読み込みエラーで PDF 生成が中止されます。
<cfdocument> で、生成された PDF ファイルに登録済みフォントを埋め込めませんでした。フォントを登録した後でも、埋め込まれていない MS 明朝を使用することが出力 PDF のデフォルトになっていました。その結果、特に、MS 明朝フォントが含まれていない Linux などのシステムでは、日本語などの言語のテキストが表示されません。この修正により、登録されたフォントが PDF 出力に正しく埋め込まれるようになりました。

前提条件

64 ビットコンピューターでは、64 ビット版 ColdFusion の 64 ビット JRE を使用します。
ColdFusion サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。スタンドアロンインストールの場合は jvm.config の下のシステムプロパティ、JEE インストールの場合は対応するスクリプトファイルを使用してプロキシ設定を指定します。
- http.proxyHost
- http.proxyPort
- http.proxyUser
- http.proxyPassword
JEE アプリケーションサーバー上で実行している ColdFusion の場合、アップデートをインストールする前に、すべてのアプリケーションサーバーインスタンスを停止します。

ColdFusion JDK フラグの要件

COLDFUSION 2023（バージョン 2023.0.0.330468）以降

アプリケーションサーバーについて
<br> JEE インストールでは、使用するアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルに「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;」という JVM フラグを設定します。

例：  

Apache Tomcat アプリケーションサーバー：Catalina.bat／sh ファイルの JAVA_OPTS を編集します  
WebLogic アプリケーションサーバー：startWeblogic.cmd ファイルの JAVA_OPTIONS を編集します  
WildFly／EAP アプリケーションサーバー：standalone.conf ファイルの JAVA_OPTS を編集します

スタンドアロンインストールではなく、JEE インストールの ColdFusion に JVM フラグを設定します。  

インストール

ColdFusion Administrator

パッケージマネージャー／パッケージで、コアサーバーの「アップデートを確認」をクリックします。

アップデートが検出されたら、「更新」をクリックします。コアパッケージが前回のアップデートから更新されます。

インストールされているすべてのパッケージも更新されます。

ColdFusion を再起動して変更を有効にします。

オフラインモードでのアップデートの手動インストール

このリンクから、ホットフィックスインストーラーをダウンロードします。
このリンクから packages zip ファイルをダウンロードし、その内容を、すべてのColdFusion サーバーインスタンスからアクセスできる場所に展開します。
cfusion およびそのすべての子インスタンスの cfusion/lib/neo_updates.xml で「packagesurl」を更新して、ダウンロードしたフォルダー内にある <InstallerRepositoryUnzippedPath>/bundles/bundlesdependency.json を指すようにします。

ColdFusion サービスを開始したり停止する特権と ColdFusion ルートディレクトリへのフルアクセスが必要です。

Windows：<cf_root>\jre\bin\java.exe -jar <InstallerRepositoryUnzippedPath>\bundles\updateinstallers\hotfix-015-330825.jar
Linux ベースのプラットフォーム：<cf_root>/jre/bin/java -jar <InstallerRepositoryUnzippedPath>/bundles/updateinstallers/hotfix-015-330825.jar

コアサーバーのホットフィックスのインストールに成功しても、パッケージにエラーや問題がある場合は、パッケージマネージャークライアント（cfusion\bin\cfpm.bat／cfpm.sh）でパッケージをインストールまたは更新することができます。

ダウンロードした JAR の実行には、ColdFusion にバンドルされている JRE を必ず使用してください。スタンドアローン ColdFusion の場合、これは <cf_root>/jre/bin にあります。

ColdFusion サービスおよび他の設定済み web サーバーを再起動する権限を持つユーザーアカウントからアップデートをインストールします。

アプリケーションの手動更新について詳しくは、このヘルプ記事を参照してください。

注意：

Java 17.0.8 以降を使用していて、ホットフィックスを手動で適用する場合は、フラグ java -Djdk.util.zip.disableZip64ExtraFieldValidation=true -jar hotfix.jar を使用します。

ただし、ColdFusion Administrator からアップデートを適用する場合は、フラグは必要ありません。

インストール後

注意：

このアップデートの適用後、ColdFusion のビルド番号は 2023,0,15,330825
になるはずです。

アンインストール

アップデートをアンインストールするには、以下のいずれかの操作を行います。

ColdFusion Administrator で、「サーバーアップデート／アップデート／インストール済みアップデート」に移動して「アンインストール」をクリックします。
コマンドプロンプトからアップデートのアンインストーラーを実行します。例：java -jar {cf_install_home}/{instance_home}/hf_updates/hf-2023-00015-330825/uninstall/uninstaller.jar

上記のアンインストールオプションを使用してもアップデートをアンインストールできない場合、アンインストーラーが破損している可能性があります。ただし、次の操作を実行すれば、手動でアップデートをアンインストールできます。

{cf_install_home}/{instance_name}/lib/updates からアップデート jar を削除します。
{cf_install_home}/{instance_name}/hf-updates/{hf-2023-00015-330825}/backup ディレクトリから {cf_install_home}/{instance_name}/ にすべてのフォルダーをコピーします。

コネクタ設定

2023 年アップデート	コネクタの再作成が必要
アップデート 15	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 14	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 13	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 12	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 11	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 10	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 9	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 8	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 7	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 6	いいえただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 IIS でコネクタを構成する Apache でコネクタを構成する
アップデート 5	はい
アップデート 4	いいえ
アップデート 3	いいえ
アップデート 2	いいえ
アップデート 1	いいえ

パッケージの更新

アップデート	パッケージの更新
アップデート 15	〇次のパッケージが更新されました。 adminapi administrator axis document exchange htmltopdf image pdf presentation print report saml scheduler search sharepoint spreadsheet
アップデート 14	〇次のパッケージが更新されました。 adminapi administrator document htmltopdf pdf presentation print report scheduler
アップデート 13	〇次のパッケージが更新されました。 htmltopdf administrator ajax ccs
アップデート 12	〇 pmtagent パッケージが更新されました。
アップデート 11	はい
アップデート 10	いいえ
アップデート 9	いいえ
アップデート 8	はい
アップデート 7	はい
アップデート 6	いいえ
アップデート 5	はい
アップデート 4	いいえ
アップデート 3	いいえ
アップデート 2	いいえ
アップデート 1	いいえ