ColdFusion（2023 年リリース）アップデート 8

セキュリティに関する推奨事項

すべてのセキュリティアップデートについて、ColdFusion のセキュリティページで説明されているセキュリティ設定を適用し、それぞれのロックダウンガイドを確認することをお勧めします。

• ColdFusion 2023 ロックダウンガイド
• ColdFusion 2021 ロックダウンガイド

ColdFusion（2023 リリース）アップデート 8（リリース日：2024年6月11日（PT））では、セキュリティ情報 APSB24-41 に記載されている脆弱性に対処しています。

これらの変更は、潜在的な脆弱性と脅威に対処するもので、お客様のデータとプライバシーを保護するためのアドビの継続的なコミットメントの一環です。

このリリースにおける重要な変更点

デフォルトアルゴリズムの変更

データのセキュリティを強化するために、デフォルトの暗号化アルゴリズムが変更されます。この更新は、最近確認されたセキュリティ脆弱性に対処するためのものです。この変更について詳しくは、以下をお読みください。

変更の概要

• 7 つの暗号化関数について、ColdFusion のデフォルトの暗号化アルゴリズムが CFMX_COMPAT から別のアルゴリズムに変わります。
• CFMX_COMPAT を使用する必要がある場合は、新しい JVM 引数 -Dcoldfusion.encryption.useCFMX_COMPATAsDefault=TRUE を使用して、変更します。デフォルトでは、値は False になっています。
• -Dcoldfusion.encryption.useCFMX_COMPATAsDefault フラグは、Adobe ColdFusion 2023 リリースおよび 2021 リリースの今後のセキュリティアップデートでサポートされます。
• ただし、ColdFusion の次回メジャーリリースで、このフラグは削除されます。

変更点

次の関数について、ColdFusion のデフォルトの暗号化アルゴリズムが CFMX_COMPAT から AES/CBC/PKCS5Padding に変更されました。

• Encrypt
• EncryptBinary
• Decrypt
• DecryptBinary

さらに、Hash 関数のデフォルトの暗号化アルゴリズムが CFMX_COMPAT から SHA-256 ハッシュアルゴリズムに変更されました。

次の Rand* 関数のデフォルトの暗号化アルゴリズムが CFMX_COMPAT から SHA1PRNG に変更されました。 

SHA1PRNG は乱数ジェネレーターです。

• Rand
• Randomize
• RandRange

この変更が重要な理由

お客様のデータのセキュリティがアドビの最優先事項です。アドビでは、安全性の低い CFMX_COMPAT よりも堅牢な暗号化アルゴリズムを採用することで、新たに出現するセキュリティ脅威に対するより強固な保護を提供することを目指しています。

CFMX_COMPAT を引き続き使用する方法

まだ CFMX_COMPAT を使用する場合は、新しい JVM 引数 -Dcoldfusion.encryption.useCFMX_COMPATAsDefault =TRUE を使用します。これにより、暗号化および乱数関連の関数がデフォルトで CFMX_COMPAT を使用するようになります。

新しいデフォルトアルゴリズムを使用するようにコードを変更し、必要な変更をコードに加えるまでは -Dcoldfusion.encryption.useCFMX_COMPATAsDefault フラグを一時的に使用することをお勧めします。

なお、CFMX_COMPAT は引き続き使用可能です。ただし、これは暗号化関数のデフォルトアルゴリズムではなくなりました。

データの変更方法

CFMX_COMPAT を使用して暗号化および保存されたデータに変更を加えるには、次の手順に従います。

1. パスワードを取得します。
2. CFMX_COMPAT アルゴリズムを使用して、データを復号します。
3. 新しいアルゴリズムを使用して、パスワードを再度暗号化します。
4. パスワードを再度保存します。

パスワードが既に保存されているユーザーに対して、新しいパスワードを作成します。 

キーの生成

• CFMX_COMPAT アルゴリズムの場合は、任意の数の文字を任意に組み合わせて、32 ビットの暗号化キーを生成するためのシードとして使用します。
• 他のすべてのアルゴリズムでは、そのアルゴリズムに固有の形式のキーが使用されます。これらのアルゴリズムのキーを生成するには、GenerateSecretKey 関数を使用します。

ここで、CFMX_COMPAT を使用していて、使用していたキーが他の（新しい）デフォルトアルゴリズムでは動作しない形式になっている場合は、新しいキーを作成して、新しいデフォルトアルゴリズムで動作させる必要があります。

コードで CFMX_COMPAT アルゴリズムが使用されているかどうかを確認する方法

アルゴリズムを指定していない場合は、例えば encrypt(myMessage, key) のような関数を確認します。または、CFMX_COMPAT をデフォルトアルゴリズムとして指定してある場合は、次の例のような関数で同様の確認を行えます。

encrypt(myMessage, key, 'CFMX_COMPAT', 'Base64')

デフォルトアルゴリズムの変更に伴うコードの変更

新しいデフォルトアルゴリズムを使用するようにコードを変更し、必要な変更をコードに加えるまでは -Dcoldfusion.encryption.useCFMX_COMPATAsDefault フラグを一時的に使用することをお勧めします。

cfdocument のアクセス制御に関する問題

新しい JVMフラグ Dcfdocument.metahttpequivrefresh.localfile=TRUE が導入されました。このフラグを使用すると、HTML の meta タグで渡された URL または場所を呼び出すことができます。デフォルトでは、値は FALSE になっています。

meta タグで URL が渡されても、デフォルトでブロックされます。このような URL を使用する場合は、-Dcfdocument.metahttpequivrefresh.localfile=TRUE フラグを使用します。

meta タグに URL を追加する前に、その URL の健全性を確認することをお勧めします。

パッケージの更新

次のパッケージが更新されました。

• document
• htmltopdf
• presentation
• pdf
• print
• report
  

Solr アップグレードの変更点

ColdFusion（2021 リリース）のセキュリティリスクを軽減するための SOLR のアップグレードに記載の手順を使用して Solr をバージョン 8.11.2 に手動でアップグレードした場合、アップデート 8 のインストール後、Solr はバージョン 7.9 にダウングレードされません。

前提条件

1. 64 ビットコンピューターでは、64 ビット版 ColdFusion の 64 ビット JRE を使用します。
2. ColdFusion サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。スタンドアロンインストールの場合は jvm.config の下のシステムプロパティ、JEE インストールの場合は対応するスクリプトファイルを使用してプロキシ設定を指定します。
   • http.proxyHost
   • http.proxyPort
   • http.proxyUser
   • http.proxyPassword
3. JEE アプリケーションサーバー上で実行している ColdFusion の場合、アップデートをインストールする前に、すべてのアプリケーションサーバーインスタンスを停止します。

ColdFusion JDK フラグの要件

COLDFUSION 2023（バージョン 2023.0.0.330468）以降

アプリケーションサーバーの場合

JEE インストールで、使用しているアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルに JVM フラグ「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**」を設定します。

例：   

• Apache Tomcat アプリケーションサーバー：Catalina.bat／sh ファイルの JAVA_OPTS を編集します
• WebLogic アプリケーションサーバー：startWeblogic.cmd ファイルの JAVA_OPTIONS を編集します
• WildFly／EAP アプリケーションサーバー：standalone.conf ファイルの JAVA_OPTS を編集します

スタンドアロンインストールではなく、JEE インストールの ColdFusion に JVM フラグを設定します。

インストール

ColdFusion Administrator

パッケージマネージャー／パッケージで、コアサーバーの「アップデートを確認」をクリックします。

アップデートが検出されたら、「更新」をクリックします。コアパッケージが前回のアップデートから更新されます。

インストールされているすべてのパッケージも更新されます。

ColdFusion を再起動して変更を有効にします。

オフラインモードでのアップデートの手動インストール

1. このリンクから、ホットフィックスインストーラーおよびリポジトリをダウンロードします。
2. すべての ColdFusion サーバーインスタンスからアクセスできる場所に解凍します。
3. cfusion およびそのすべての子インスタンスの cfusion/lib/neo_updates.xml で「packagesurl」を更新して、ダウンロードしたフォルダー内にある <InstallerReposityUnzippedPath>/bundles/bundlesdependency.json を指すようにします。

ColdFusion サービスを開始したり停止する特権と ColdFusion ルートディレクトリへのフルアクセスが必要です。

• Windows：<cf_root>\jre\bin\java.exe -jar <InstallerReposityUnzippedPath>\bundles\updateinstallers\hotfix-008-330668.jar
  
• Linux ベースのプラットフォーム：<cf_root>/jre/bin/java -jar <InstallerReposityUnzippedPath>/bundles/updateinstallers/hotfix-008-330668.jar

コアサーバーのホットフィックスのインストールに成功しても、パッケージにエラーや問題がある場合は、パッケージマネージャークライアント（cfusion\bin\cfpm.bat／cfpm.sh）でパッケージをインストールまたは更新することができます。

ダウンロードした JAR の実行には、ColdFusion にバンドルされている JRE を必ず使用してください。スタンドアローン ColdFusion の場合、これは <cf_root>/jre/bin にあります。

ColdFusion サービスおよび他の設定済み web サーバーを再起動する権限を持つユーザーアカウントからアップデートをインストールします。

アプリケーションの手動更新について詳しくは、このヘルプ記事を参照してください。

インストール後

アンインストール

アップデートをアンインストールするには、以下のいずれかの操作を行います。

• ColdFusion Administrator で、「サーバーアップデート／アップデート／インストール済みアップデート」に移動して「アンインストール」をクリックします。
• コマンドプロンプトからアップデートのアンインストーラーを実行します。例：java -jar {cf_install_home}/{instance_home}/hf_updates/hf-2023-00008-330668/uninstall/uninstaller.jar

上記のアンインストールオプションを使用してもアップデートをアンインストールできない場合、アンインストーラーが破損している可能性があります。ただし、次の操作を実行すれば、手動でアップデートをアンインストールできます。

1. {cf_install_home}/{instance_name}/lib/updates からアップデート jar を削除します。
2. {cf_install_home}/{instance_name}/hf-updates/{hf-2023-00008-330668}/backup ディレクトリから {cf_install_home}/{instance_name}/ にすべてのフォルダーをコピーします。

コネクタ設定

パッケージの更新