- ColdFusion のインストールと設定ユーザーガイド
- ColdFusion のインストール
- ColdFusion サーバープロファイル
- ColdFusion のインストール
- システムの設定
- ColdFusion のライセンスとアクティベーション
- ColdFusion 設定のインストール
- 統合テクノロジのインストール
- ColdFusion を設定するには
- ColdFusion の 2023 および 2021 アップデートでの新しい JVM 引数
- ColdFusion(2025 リリース)の新しい JVM 引数
- CFSetup 設定ツール
- コマンドラインインターフェイス(CLI)
- ColdFusion の中央管理型サーバー(CCS)
- ColdFusion の管理
- ColdFusion Administrator を使用する
- ColdFusion のデータソース管理
- Webサーバーに接続
- ColdFusion アプリケーションのデプロイ
- ColdFusion セキュリティの管理
- 複数のサーバーインスタンスを使用
- ColdFusion Administrator API リファレンス
アプリケーションサーバー
JEE インストールでは、使用するアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルに "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" の JVM フラグを設定します。
例:
- Apache Tomcat アプリケーションサーバー:「Catalina.bat/sh」ファイルの JAVA_OPTS を編集します。
- WebLogic アプリケーションサーバー:「startWeblogic.cmd」ファイルの JAVA_OPTIONS を編集します。
- WildFly/EAP アプリケーションサーバー:「standalone.conf」ファイルの JAVA_OPTS を編集します。
メモ:これらの手順は、スタンドアロンの ColdFusion インストールには適用されません。
ColdFusion(2023 リリース)アップデート
- -Dcoldfusion.xmlrpc.allowExternalEntities:このフラグは、XML の解析時に外部エンティティが許可されるかどうかを制御します。デフォルトでは、このフラグは false に設定され、外部エンティティの解決が無効になっています。これにより、ファイル漏えいやサービス拒否攻撃などの XML 外部エンティティ(XXE)の潜在的な脆弱性を防ぐことができます。このフラグを false(デフォルト)に設定すると、セキュリティが強化され、ファイルシステムから機密ファイルを読み取るために悪用されかねないブラインド XXE 攻撃を防ぐことができます。 (お勧めしませんが)外部エンティティが有効な XML 解析をアプリケーションで利用している場合は、このフラグを明示的に true に設定する必要がありますが、その結果、セキュリティリスクが発生する可能性があります。
重要
この JVM フラグは、アドオンサービスサーバーにのみ適用され、メインの ColdFusion サーバーで使用される jvm.config ファイルには適用されません。
- Windows:jetty.lax ファイルで他の JVM 引数がリストされている場所に、このフラグを追加します。
- Windows 以外:cfjetty スクリプトで既存の JVM 引数が設定されている場所に、このフラグを追加します。
- -Dcoldfusion.runtime.remotemethod.matchArguments=true/false。 フラグは、デフォルトで true に設定され、厳密な引数の一致が適用されます。 リモートメソッドが特定のパラメーターを必要とする場合、これらの引数は cfargument タグを使用して明示的に宣言するか、関数署名で直接定義する必要があります。 例えば、リモート関数が 2 つの引数を受け入れるように定義されている場合、その 2 つの引数のみを受け取る必要があります。 宣言された数(例:10)を超える引数を渡すと、エラーが発生します。 この変更により、メソッドの整合性がより厳密になり、デバッグエクスペリエンスが向上します。 この動作変更は、リモート CFC メソッドにのみ適用されます。
- -Dcoldfusion.systemprobe.allowexecution=true/false。 デフォルトでは、セキュリティ上の理由からこのフラグは false に設定されています。 フラグは、障害発生時にシステムプローブの実行を防止します。 この機能を有効にするには、値を true に設定します。
- -Dcoldfusion.cfencode.decryption.enable=true/false。 デフォルトは true です。 値が true の場合、cfencode で以前にエンコードされたファイルも読み取られます。
- -Dcoldfusion.pdfg.connectionTimeout=<ミリ秒>. これは、PDF 変換に設定されるタイムアウト値です。 指定された値よりも長い時間がかかった変換はタイムアウトし、例外がスローされます。
- -Dcoldfusion.datasource.blocked.properties
- デフォルト値:
- allowLoadLocalInfile
- allowUrlInLocalInfile
- autoDeserialize
- 説明:指定された接続文字列は、どのデータソース接続に対してもブロックされています。 データベースでの使用を許可するには、プロパティから削除します。
- デフォルト値:
- -Dcoldfusion.compiler.block.bytecode=true。 このフラグが true の場合、ColdFusion は実行時にプリコンパイル済み CFML コード(Java バイトコード)を実行できなくなります。
アップデートの適用後、お使いの UUID はリセットされます。 ただし、セキュリティ上の理由から、ColdFusion を再起動するたびに ID をリセットする場合は、jvm フラグ -Dcoldfusion.monitoring.id.reset=true を追加し、ColdFusion を再起動します。
ColdFusion が、Ed25519 などの新しい OpenSSH キーアルゴリズムを使用して sFTP 接続を処理できません。 回避策として、次の JVM フラグを追加してください。
- -Dcoldfusion.sftp.enable-ssh-rsa=TRUE(ssh-rsa アルゴリズムを有効にする場合)。 このフラグのデフォルト値は FALSE です。
- -Dcoldfusion.sftp.fingerprint=md5(md5 を設定する場合)。 このフラグのデフォルト値は SHA256 です。
- 7 つの暗号化関数について、ColdFusion のデフォルトの暗号化アルゴリズムがCFMX_COMPAT から別のアルゴリズムに変わります。
- CFMX_COMPAT を使用する必要がある場合は、新しい JVM 引数 -Dcoldfusion.encryption.useCFMX_COMPATAsDefault =TRUE を使用します。 デフォルトでは、値は False になっています。
- - Dcoldfusion.encryption.useCFMX_COMPATAsDefault フラグは、Adobe ColdFusion の 2023 リリースおよび 2021 リリースの今後のセキュリティアップデートでサポートされます。
メモ:このフラグは ColdFusion(2025 リリース)で削除されました。 詳しくは、ColdFusion の非推奨を参照してください。
cfdocument のアクセス制御に関する問題
新しい JVM フラグ -Dcfdocument.metahttpequivrefresh.localfile=TRUE が導入されました。このフラグを使用すると、HTML の meta タグで渡された URL または場所を呼び出すことができます。 デフォルトでは、値は FALSE になっています。
meta タグで URL が渡されても、デフォルトでブロックされます。 このような URL を使用する場合は、-Dcfdocument.metahttpequivrefresh.localfile=TRUE フラグを使用します。
meta タグに URL を追加する前に、URL の健全性チェックを行うことをお勧めします。
適切なスコープからの値の取得
新しく導入されたフラグ -Dcoldfusion.searchimplicitscopes=true を jvm 引数に追加します。
ColdFusion(2021 リリース)アップデート
- -Dcoldfusion.xmlrpc.allowExternalEntities:このフラグは、XML の解析時に外部エンティティが許可されるかどうかを制御します。デフォルトでは、このフラグは false に設定され、外部エンティティの解決が無効になっています。これにより、ファイル漏えいやサービス拒否攻撃などの XML 外部エンティティ(XXE)の潜在的な脆弱性を防ぐことができます。このフラグを false(デフォルト)に設定すると、セキュリティが強化され、ファイルシステムから機密ファイルを読み取るために悪用されかねないブラインド XXE 攻撃を防ぐことができます。 (お勧めしませんが)外部エンティティが有効な XML 解析をアプリケーションで利用している場合は、このフラグを明示的に true に設定する必要がありますが、その結果、セキュリティリスクが発生する可能性があります。
重要
この JVM フラグは、アドオンサービスサーバーにのみ適用され、メインの ColdFusion サーバーで使用される jvm.config ファイルには適用されません。
- Windows:jetty.lax ファイルで他の JVM 引数がリストされている場所に、このフラグを追加します。
- Windows 以外:cfjetty スクリプトで既存の JVM 引数が設定されている場所に、このフラグを追加します。
- -Dcoldfusion.runtime.remotemethod.matchArguments=true/false。 フラグは、デフォルトで true に設定され、厳密な引数の一致が適用されます。 リモートメソッドが特定のパラメーターを必要とする場合、これらの引数は cfargument タグを使用して明示的に宣言するか、関数署名で直接定義する必要があります。 例えば、リモート関数が 2 つの引数を受け入れるように定義されている場合、その 2 つの引数のみを受け取る必要があります。 宣言された数(例:10)を超える引数を渡すと、エラーが発生します。 この変更により、メソッドの整合性がより厳密になり、デバッグエクスペリエンスが向上します。 この動作変更は、リモート CFC メソッドにのみ適用されます。
- -Dcoldfusion.systemprobe.allowexecution=true/false。 デフォルトでは、セキュリティ上の理由からこのフラグは false に設定されています。 フラグは、障害発生時にシステムプローブの実行を防止します。 この機能を有効にするには、値を true に設定します。
次のフラグが追加されました。
- -Dcoldfusion.cfencode.decryption.enable=true/false。 デフォルトは true です。 値が true の場合、cfencode で以前にエンコードされたファイルも読み取られます。
- -Dcoldfusion.pdfg.connectionTimeout=<ミリ秒>. これは、PDF 変換に設定されるタイムアウト値です。 指定された値よりも長い時間がかかった変換はタイムアウトし、例外がスローされます。
- -Dcoldfusion.datasource.blocked.properties
- デフォルト値:
- allowLoadLocalInfile
- allowUrlInLocalInfile
- autoDeserialize
- 説明:新しいデータベースを追加すると、前述の接続文字列はブロックされます。 データベースでの使用を許可するには、プロパティから削除します。
- デフォルト値:
- -Dcoldfusion.compiler.block.bytecode=true。 このフラグが true の場合、ColdFusion は実行時にプリコンパイル済み CFML コード(Java バイトコード)を実行できなくなります。
アップデートの適用後、お使いの UUID はリセットされます。 ただし、セキュリティ上の理由から、ColdFusion を再起動するたびに ID をリセットする場合は、次の手順に従います。
jvm フラグ -Dcoldfusion.monitoring.id.reset=true を追加します。
ColdFusion が、Ed25519 などの新しい OpenSSH キーアルゴリズムを使用して sFTP 接続を処理できません。 回避策として、次の JVM フラグを追加してください。
- -Dcoldfusion.sftp.enable-ssh-rsa=TRUE(ssh-rsa アルゴリズムを有効にする場合)。 このフラグのデフォルト値は FALSE です。
- -Dcoldfusion.sftp.fingerprint=md5(md5 を設定する場合)。 このフラグのデフォルト値は SHA256 です。
- 7 つの暗号化関数について、ColdFusion のデフォルトの暗号化アルゴリズムがCFMX_COMPAT から別のアルゴリズムに変わります。
- CFMX_COMPAT を使用する必要がある場合は、新しい JVM 引数 -Dcoldfusion.encryption.useCFMX_COMPATAsDefault =TRUE を使用します。 デフォルトでは、値は False になっています。
- - Dcoldfusion.encryption.useCFMX_COMPATAsDefault フラグは、Adobe ColdFusion の 2023 リリースおよび 2021 リリースの今後のセキュリティアップデートでサポートされます。
メモ:このフラグは ColdFusion(2025 リリース)で削除されました。 詳しくは、ColdFusion の非推奨を参照してください。
cfdocument のアクセス制御に関する問題
新しい JVM フラグ -Dcfdocument.metahttpequivrefresh.localfile=TRUE が導入されました。このフラグを使用すると、HTML の meta タグで渡された URL または場所を呼び出すことができます。 デフォルトでは、値は FALSE になっています。
meta タグで URL が渡されても、デフォルトでブロックされます。 このような URL を使用する場合は、-Dcfdocument.metahttpequivrefresh.localfile=TRUE フラグを使用します。
meta タグに URL を追加する前に、URL の健全性チェックを行うことをお勧めします。
適切なスコープからの値の取得
新しく導入されたフラグ -Dcoldfusion.searchimplicitscopes=true を jvm 引数に追加します。
cfdocument に対する変更
デフォルトでは、cfdocument の本文で <iframe src=" "> を使用する場合、HTTP と HTTPS を除くすべてのプロトコルがブロックされるようになりました。
次に示すように、-Dcoldfusion.iframe.allowedprotocols JVM 引数を使用すると、他のプロトコルも許可できます。
-Dcoldfusion.iframe.allowedprotocols=file,ftp
- cfclient はデフォルトで無効になっています。 ColdFusion では、cfclient を有効にする場合の -Dcoldfusion.cfclient.enable=true/false フラグが導入されています
- フラグを有効にすると、CFC の読み取りのみが許可されます。 他のファイルの読み取りを許可するには、-Dcoldfusion.cfclient.allowNonCfc=true/false を設定します
