最終更新日 :
2023年8月23日
serialfilter とは
serialfilter ファイルは Java シリアル化フィルタリングメカニズムであり、シリアル化された Java オブジェクトが逆シリアル化される前に、それらのオブジェクトの入力ストリームをスクリーニングし検証するものです。このファイルは、許可されていないパッケージのリストを列挙するために使用されます。ColdFusion では、このリストに含まれているあらゆるパッケージを安全でない逆シリアル化からブロックして、セキュリティ攻撃の防止に役立てます。
防止する方法
逆シリアル化の脆弱性が報告されているパッケージを把握した場合は、次の手順に従ってください。
- <CF_HOME>/lib にある serialfilter.txt ファイルを使用して、パッケージに逆シリアル化を禁止します(例: !org.jgroups.**)。
- ColdFusion を再起動します。
このメカニズムは次の ColdFusion バージョンで更新されて、ColdFusion WDDX の逆シリアル化も処理するようになりました。
