ColdFusion(2021 リリース)Performance Monitoring Toolset アップデート 3(リリース日:2021年12月17日(PT))では、CVE-2021-44228 と CVE-2021-45046 に記載されている脆弱性に対処しています。
このアップデートの適用後、Log4j 2.x に関連するすべての JAR はバージョン 2.16.0 にアップグレードされます。
ColdFusion での Log4j の脆弱性についてに記載されている緩和手順を既に適用してある場合でも、このアップデートを適用することを強くお勧めします。
前提条件
注意:64 ビットコンピューターでは、64 ビット版 Performance Monitoring Toolset の 64 ビット JRE を使用します。
Performance Monitoring Toolset サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。jvm.config で以下のシステムプロパティを使用してプロキシ設定を指定するか、Performance Monitoring Toolset ダッシュボード(設定/アップデート/設定)でプロキシ設定を指定します。
- http.proxyHost
- http.proxyPort
- http.proxyUser
- http.proxyPassword
インストール
注意: Windows では、アップデートをインストールする前にデータストアサービスを停止し、次の節に示す手動手順に従ってアップデートを適用する必要があります。
Windows 以外の場合、アップデートは、PMT ダッシュボードまたはコマンドラインでインストールできます。
「ダウンロード」または「ダウンロードしてインストール」オプションを使用してアップデートをインストールしたときに次のエラーが表示された場合は、フォルダー {pmt_install_home}/hf-updates に書き込み権限があることを確認してください。「PMT アップデートをインストールする際に、エラーが発生しました。再試行してください。」
バックアップは {pmt_install_home}/hf-updates/hf-2021-00003-329792/backup に格納されます。
アップデートの手動インストール
- このリンクをクリックして、アップデート JAR をダウンロードします。 The MD5 checksum is: a76ee4fb7d5cbb16baa9037b84a6eb5b
- ダウンロードした JAR で、以下のコマンドを実行します。Performance Monitoring Toolset サービスとデータストアサービスを開始または停止する権限が必要です。
Windows の場合:<pmt_install_home>/jre/bin/java.exe -jar <jar-file-dir>/hotfix-003-329792.jar
Linux ベースのプラットフォームの場合:<pmt_install_home>/jre/bin/java -jar <jar-file-dir>/hotfix-003-329792.jar
ダウンロードした JAR の実行には、Performance Monitoring Toolset にバンドルされている JRE を必ず使用してください。
Performance Monitoring Toolset サービスとデータストアサービスを再起動する権限を持つユーザーアカウントからアップデートをインストールします。
アドオンとしてインストールされるデータストア
{pmt-addons-home}/datastore/lib 内の下記の JAR を PMT ホーム外部の任意のバックアップ場所に移動します。
- log4j-1.2-api-2.11.1.jar
- log4j-api-2.11.1.jar
- log4j-core-2.11.1.jar
次に、JAR の入手先から下記の JAR をダウンロードして(チェックサム:a0047aa8c1eab7e1936ea2d36d1236f3)、{pmt-addons-home}/datastore/lib
にコピーします。
- log4j-1.2-api-2.16.0.jar
- log4j-api-2.16.0.jar
- log4j-core-2.16.0.jar
データストアを再起動します。
インストール後
注意:以下は Windows の場合にのみ該当します。
インストール後、jvm.config ファイルを更新して、次の変更を行います。名前を次のように変更します。
Dlog4j.configurationFile="file://C:\pmt_home\config\log4j2.xml" を -Dlog4j.configurationFile=file:///C:\pmt_home\config\log4j2.xml に
このアップデートの適用後、ColdFusion Performance Monitoring Toolset のビルド番号は 2021,0,03,329792 になるはずです。
アンインストール
Windows 上でアンインストールする前に、データストアサービスを停止します。
アップデートをアンインストールするには、以下のいずれかの操作を行います。
- Performance Monitoring Toolset のダッシュボードで、設定/アップデート/インストール済みアップデートを選択し、「アンインストール」をクリックします。
- コマンドプロンプトからアップデートのアンインストーラーを実行します。例:java -jar {pmt_install_home}/hf-updates/hf-2021-00003-329792/uninstall/uninstaller.jar