ColdFusion(2023 リリース)アップデート 16
セキュリティに関する推奨事項
すべてのセキュリティアップデートについて、ColdFusion のセキュリティページで説明されているセキュリティ設定を適用し、それぞれのロックダウンガイドを確認することをお勧めします。
以下のアップデートは累積的なもので、以前のアップデートがすべて含まれています。 以前のアップデートを行っていない場合、最新のアップデートを適用することで、以前のアップデートも適用されます。 また、スキップしたアップデートで行われた変更をメモしておいてください。
詳しくは、ColdFusion(2023 リリース)アップデートを参照してください。
新機能および変更された機能
ColdFusion(2023 リリース)アップデート 16(リリース日:2025年9月9日(PT))は、重大なパストラバーサルに関連する重要なセキュリティ修正に対応しています。
詳しくは、セキュリティ情報 APSB25-93 を参照してください。
スケジュールされたタスク出力ファイルの許可リストの pathfilter.json ファイルにカスタムエントリを追加した場合は、次のいずれかを実行する必要があります。
アップデートを適用する前に pathfilter.json ファイルをバックアップする、または
アップデートの適用後、アップデートのバックアップから復元する。
ファイルのバックアップコピーは以下の場所にあります:
hf-updates\hf-2023-00016-330828\backup\lib\pathfilter.json
シリアルフィルターの変更
このアップデートで、cfusion/lib にある serialfilter.txt ファイルが置き換えられます。 そのため、このファイルに既にカスタム エントリが追加されている場合は、バックアップ ファイル(cfusion/hf-updates/{version}/backup/lib)からカスタム エントリをコピーします。
前提条件
- 64 ビットコンピューターでは、64 ビット版 ColdFusion の 64 ビット JRE を使用します。
- ColdFusion サーバーがプロキシの背後にある場合は、サーバーが更新通知を受け取ってアップデートをダウンロードできるようにプロキシ設定を指定してください。 スタンドアロンインストールの場合は jvm.config の下のシステムプロパティ、JEE インストールの場合は対応するスクリプトファイルを使用してプロキシ設定を指定します。
- http.proxyHost
- http.proxyPort
- http.proxyUser
- http.proxyPassword
- JEE アプリケーションサーバー上で実行している ColdFusion の場合、アップデートをインストールする前に、すべてのアプリケーションサーバーインスタンスを停止します。
ColdFusion JDK フラグの要件
COLDFUSION 2023(バージョン 2023.0.0.330468)以降
アプリケーションサーバーについて
JEE インストールでは、使用するアプリケーションサーバーのタイプに応じて、それぞれの起動ファイルに 「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;」という JVM フラグを設定します。
例:
- Apache Tomcat アプリケーションサーバー:Catalina.bat/sh ファイルの JAVA_OPTS を編集します
- WebLogic アプリケーションサーバー:startWeblogic.cmd ファイルの JAVA_OPTIONS を編集します
- WildFly/EAP アプリケーションサーバー:standalone.conf ファイルの JAVA_OPTS を編集します
スタンドアロンインストールではなく、JEE インストールの ColdFusion に JVM フラグを設定します。
ColdFusion Administrator
パッケージマネージャー/パッケージで、コアサーバーの「アップデートを確認」をクリックします。
アップデートが検出されたら、「更新」をクリックします。 コアパッケージが前回のアップデートから更新されます。
インストールされているすべてのパッケージも更新されます。
ColdFusion を再起動して変更を有効にします。
オフラインモードでのアップデートの手動インストール
- このリンクから、ホットフィックスインストーラーをダウンロードします。
- このリンクから packages zip ファイルをダウンロードし、その内容を、すべてのColdFusion サーバーインスタンスからアクセスできる場所に展開します。
- cfusion およびそのすべての子インスタンスの cfusion/lib/neo_updates.xml で「packagesurl」を更新して、ダウンロードしたフォルダー内にある <InstallerRepositoryUnzippedPath>/bundles/bundlesdependency.json を指すようにします。
ColdFusion サービスを開始したり停止する特権と ColdFusion ルートディレクトリへのフルアクセスが必要です。
- Windows:<cf_root>\jre\bin\java.exe -jar <InstallerRepositoryUnzippedPath>\bundles\updateinstallers\hotfix-016-330828.jar
- Linux ベースのプラットフォーム:<cf_root>/jre/bin/java -jar <InstallerRepositoryUnzippedPath>/bundles/updateinstallers/hotfix-016-330828.jar
コアサーバーのホットフィックスのインストールに成功しても、パッケージにエラーや問題がある場合は、パッケージマネージャークライアント(cfusion\bin\cfpm.bat/cfpm.sh)でパッケージをインストールまたは更新することができます。
ダウンロードした JAR の実行には、ColdFusion にバンドルされている JRE を必ず使用してください。 スタンドアローン ColdFusion の場合、これは <cf_root>/jre/bin にあります。
ColdFusion サービスおよび他の設定済み web サーバーを再起動する権限を持つユーザーアカウントからアップデートをインストールします。
アプリケーションの手動更新について詳しくは、このヘルプ記事を参照してください。
Java 17.0.8 以降を使用していて、ホットフィックスを手動で適用する場合は、フラグ java -Djdk.util.zip.disableZip64ExtraFieldValidation=true -jar hotfix.jar を使用します。
ただし、ColdFusion Administrator からアップデートを適用する場合は、フラグは必要ありません。
インストール後
このアップデートを適用すると、ColdFusion ビルド番号は 2023,0,16,330828
になります。
アンインストール
アップデートをアンインストールするには、以下のいずれかの操作を行います。
- ColdFusion Administrator で、「サーバーアップデート/アップデート/インストール済みアップデート」に移動して「アンインストール」をクリックします。
- コマンドプロンプトからアップデートのアンインストーラーを実行します。 例:java -jar {cf_install_home}/{instance_home}/hf_updates/hf-2023-00016-330828/uninstall /uninstaller.jar
上記のアンインストールオプションを使用してもアップデートをアンインストールできない場合、アンインストーラーが破損している可能性があります。 ただし、次の操作を実行すれば、手動でアップデートをアンインストールできます。
- {cf_install_home}/{instance_name}/lib/updates からアップデート jar を削除します。
- {cf_install_home}/{instance_name}/hf-updates/{hf-2023-00016-330828}/backup ディレクトリから {cf_install_home}/{instance_name}/ にすべてのフォルダーをコピーします。
コネクタ設定
| 2023 年アップデート | コネクタの再作成が必要 |
|---|---|
| アップデート 16 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 15 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 14 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 13 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 12 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 11 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 10 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 9 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 8 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 7 | いいえ
ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 6 | いいえ ただし、アップデート 4 またはそれ以前からアップグレードする場合は、コネクタを再作成する必要があります。 コネクタの作成と設定について詳しくは、次のドキュメント参照してください。 |
| アップデート 5 | はい |
| アップデート 4 | いいえ |
| アップデート 3 | いいえ |
| アップデート 2 | いいえ |
| アップデート 1 | いいえ |
パッケージの更新
| アップデート | パッケージの更新 |
|---|---|
| アップデート 16 | はい
|
| アップデート 15 | はい 次のパッケージが更新されました。
|
| アップデート 14 | はい 次のパッケージが更新されました。
|
| アップデート 13 | はい 次のパッケージが更新されました。
|
| アップデート 12 | はい pmtagent パッケージが更新されました。 |
| アップデート 11 | はい |
| アップデート 10 | いいえ |
| アップデート 9 | いいえ |
| アップデート 8 | はい |
| アップデート 7 | はい |
| アップデート 6 | いいえ |
| アップデート 5 | はい |
| アップデート 4 | いいえ |
| アップデート 3 | いいえ |
| アップデート 2 | いいえ |
| アップデート 1 | いいえ |
