ColdFusion(2025 リリース)アップデート 1

検索
ColdFusion

ColdFusion

アプリを開く

ColdFusion(2025 リリース)アップデート 1

セキュリティに関する推奨事項

すべてのセキュリティアップデートについて、ColdFusion のセキュリティページで説明されているセキュリティ設定を適用し、それぞれのロックダウンガイドを確認することをお勧めします。  

警告 :

アップデートのインストール後、コネクタを作成し設定する必要があるかどうかを確認します。詳しくは、コネクタ設定の節を参照してください。

新機能および変更された機能

ColdFusion(2025 リリース)アップデート 1(リリース日:2025年4月8日(PT))は、ファイルシステムの任意の読み取り、任意のコード実行、セキュリティ機能のバイパスにつながるおそれがあるいくつかの重大かつ重要な脆弱性を解決します。

詳細については、セキュリティ情報 APSB25-15 を参照してください。

注意:

このアップデートで、cfusion/lib にある serialfilter.txt ファイルが置き換えられます。そのため、このファイルに既にカスタム エントリが追加されている場合は、バックアップ ファイル(cfusion/hf-updates/{version}/backup/lib)からカスタム エントリをコピーします。

このアップデートの新しい JVM フラグ

デフォルトでは、ドキュメントを PDF に変換する際のリクエストのタイムアウトは 60秒です。したがって、変換が 60 秒を超える場合は、タイムアウトが発生します。このアップデートでは、ColdFusion に JVM フラグ -Dcoldfusion.pdfg.connectionTimeout が導入されました。これは、タイムアウト値の変更に役立ちます。フラグの値はミリ秒単位です。また、このフラグを使用すると、PDF エンジン 2.0 での断続的なタイムアウトエラーを減らすことができます。

フラグについて詳しくは、ColdFusion(2025 リリース)の JVM 引数を参照してください。

アドオンインストーラー

このアップデートでは、アドオンインストーラーが更新されます。スタンドアロン PDF サービスを使用する場合は、アドオンを再インストールする必要があります。

Solr のセキュリティ保護について詳しくは、こちらのブログを参照してください。

更新されたインストーラーは ColdFusion のダウンロードから入手できます。

このアップデートの既知の問題

  • Linux で PDF エンジン 1.0 を使用しているときに問題が発生した場合は、PDF エンジン 2.0 に切り替えるか、このサービスを Windows でセットアップして、それにリモートでアクセスすることができます。
  • PDFg サービスの認証エラーが原因で、PDF を作成できない場合があります。この問題の回避策としては、サービスマネージャーを更新し、PDF の作成を再試行してください。
  • PDF エンジン 1 および 2 を使用してドキュメントを PDF にパブリッシュする際に、「java.lang.NoClassDefFoundError: coldfusion/document/DocumentScope」というエラーメッセージが表示された場合は、Felix キャッシュをクリアして ColdFusion を再起動します。
  • ColdFusion Docker イメージを使用して CLI コマンド docker run --rm -it -v ./mywebroot:/app -e acceptEULA=YES adobecoldfusion/coldfusion:latest cli file.cfm を実行すると、NullPointerException が発生します。ColdFusion が起動したら、コンテナから CLI を実行します。
  • jetty-ipaccess.xml ファイルが <cf_root>/cfusion/jetty/etc フォルダーにない場合は、cfhtmltopdf の手順でこのファイルを作成し、Jetty サーバーを再起動します。

前提条件

  1. 64 ビットコンピューターでは、64 ビット版 ColdFusion の 64 ビット JRE を使用します。
  2. ColdFusion サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。スタンドアロンインストールの場合は jvm.config の下のシステムプロパティ、JEE インストールの場合は対応するスクリプトファイルを使用してプロキシ設定を指定します。
    • http.proxyHost
    • http.proxyPort
    • http.proxyUser
    • http.proxyPassword
  3. JEE アプリケーションサーバー上で実行している ColdFusion の場合、アップデートをインストールする前に、すべてのアプリケーションサーバーインスタンスを停止します。

ColdFusion JDK フラグの要件

COLDFUSION 2025(バージョン 2025.0.0.331385)

アプリケーションサーバーについて

JEE インストールでは、使用するアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルに 「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;」という JVM フラグを設定します。

例:   

  • Apache Tomcat アプリケーションサーバー:Catalina.bat/sh ファイルの JAVA_OPTS を編集します   
  • WebLogic アプリケーションサーバー:startWeblogic.cmd ファイルの JAVA_OPTIONS を編集します   
  • WildFly/EAP アプリケーションサーバー:standalone.conf ファイルの JAVA_OPTS を編集します   

スタンドアロンインストールではなく、JEE インストールの ColdFusion に JVM フラグを設定します。  

インストール

ColdFusion Administrator

パッケージマネージャー/パッケージで、コアサーバーの「アップデートを確認」をクリックします。

アップデートが検出されたら、「更新」をクリックします。コアパッケージが前回のアップデートから更新されます。

インストールされているすべてのパッケージも更新されます。

ColdFusion を再起動して変更を有効にします。

オフラインモードでのアップデートの手動インストール

  1. このリンクから、ホットフィックスインストーラーをダウンロードします。
  2. このリンクから packages zip ファイルをダウンロードし、その内容を、すべてのColdFusion サーバーインスタンスからアクセスできる場所に展開します。
  3. cfusion およびそのすべての子インスタンスの cfusion/lib/neo_updates.xml で「packagesurl」を更新して、ダウンロードしたフォルダー内にある <InstallerRepositoryUnzippedPath>/bundles/bundlesdependency.json を指すようにします。

ColdFusion サービスを開始したり停止する特権と ColdFusion ルートディレクトリへのフルアクセスが必要です。

  • Windows:<cf_root>\jre\bin\java.exe -jar <InstallerRepositoryUnzippedPath>\bundles\updateinstallers\hotfix-001-331420.jar
  • Linux ベースのプラットフォーム:<cf_root>/jre/bin/java -jar <InstallerRepositoryUnzippedPath>/bundles/updateinstallers/hotfix-001-331420.jar

コアサーバーのホットフィックスのインストールに成功しても、パッケージにエラーや問題がある場合は、パッケージマネージャークライアント(cfusion\bin\cfpm.bat/cfpm.sh)でパッケージをインストールまたは更新することができます。

ダウンロードした JAR の実行には、ColdFusion にバンドルされている JRE を必ず使用してください。スタンドアローン ColdFusion の場合、これは <cf_root>/jre/bin にあります。

ColdFusion サービスおよび他の設定済み web サーバーを再起動する権限を持つユーザーアカウントからアップデートをインストールします。

アプリケーションの手動更新について詳しくは、このヘルプ記事を参照してください。

インストール後

注意:

このアップデートの適用後、ColdFusion のビルド番号は 2025,0,01,331420
になるはずです。

アンインストール

アップデートをアンインストールするには、以下のいずれかの操作を行います。

  • ColdFusion Administrator で、「サーバーアップデートアップデートインストール済みアップデート」に移動して「アンインストール」をクリックします。
  • コマンドプロンプトからアップデートのアンインストーラーを実行します。例:java -jar {cf_install_home}/{instance_home}/hf_updates/hf-2025-00001-331420/uninstall/uninstaller.jar

上記のアンインストールオプションを使用してもアップデートをアンインストールできない場合、アンインストーラーが破損している可能性があります。ただし、次の操作を実行すれば、手動でアップデートをアンインストールできます。

  1. {cf_install_home}/{instance_name}/lib/updates からアップデート jar を削除します。
  2. {cf_install_home}/{instance_name}/hf-updates/{hf-2025-00001-331420}/backup ディレクトリから {cf_install_home}/{instance_name}/ にすべてのフォルダーをコピーします。

コネクタ設定

2025 年アップデート コネクタの再作成が必要
アップデート 1 いいえ

パッケージの更新

2025年アップデート パッケージの更新
アップデート 1

次のパッケージが更新されました。

  • administrator
  • ajax

ヘルプをすばやく簡単に入手

新規ユーザーの場合

クイックリンク

すべてのプランを表示 プランを管理
クイックリンクを表示する
クイックリンクを非表示にする

法律上の注意    |    プライバシーポリシー