Adobe社より「Adobe ColdFusion」の脆弱性に関する修正アップデートが公開されました。つきましては、脆弱性対策の実施をお願いいたします。
対象環境
- ColdFusion 2021 をご利用中
問題の説明
Adobe社より「Adobe ColdFusion」の脆弱性(CVE-2024-41874)が公表されました。詳細は以下の記事をご参照ください。
脆弱性対策
この問題に対処するには「【1】ColdFusionをアップデートする」と「【2】ColdFusion用Javaを変更する」の両方を実施する必要があります。
【1】ColdFusionをアップデートする
サムライズ社(ColdFusion販売代理店)の以下記事を確認し、アップデートを適用します。
ColdFusion2021 Update11以前のバージョンからアップデートされる場合は、以下の記事もご参照ください。
【2】ColdFusion用Javaを変更する
※既に「ColdFusion脆弱性対策アップデートの適用について(APSB23-47)」、または、「ColdFusion脆弱性対策アップデートの適用について(APSB23-52)」で実施済みの場合、この作業は不要です。
事前準備
設定を誤りますとColdFusionが起動できなくなる場合があります。
必ず事前に以下のファイルをコピーしてバックアップしてください。
-
{ColdFusionインストールルート}\cfusion\bin\jvm.config
-
ColdFusion 2021の場合:
既定ではC:\ColdFusion2021\cfusion\bin\jvm.config
となります。
Javaのダウンロード
以下リンクから「Java 11.0.18」をダウンロードします。
Javaをインストールし、JVMを変更する
サムライズ社の以下記事を確認して Java のインストールと、ColdFusionの設定を変更します。
関連
設定を復元する手順について
ColdFusion Applicationサービスを開始しても、状態が実行中にならない(停止してしまう)場合は、JVMの設定に問題があります。
事前準備でバックアップしておいたファイル「jvm.config」を元の場所に上書きして元に戻し、ColdFusion Applicationサービスを開始することでリカバリできます。
プロキシについて
ColdFusionのアップデートにWebプロキシサーバーを経由する必要がある場合は、以下の記事を参考されるか、次項の手動で適用をご検討ください。
ColdFusionのアップデータを手動で適用する
ColdFusionのアップデートに必要なファイルを手動でダウンロードしてコマンドプロンプトを利用した更新を実施するには、サムライズ社の以下の記事を参照ください。
補足
これはコラボフローの動作に必要なミドルウェア「Adobe ColdFusion」の不具合であり、コラボフローの修正はありません。
また、Update15で発生していた、アップデート実施時の不具合も解消されております。
サービス停止中のコラボフローの稼動について
サービス停止中は、コラボフローにアクセスできなくなります。
停止をおこなう際は、事前に告知し利用者がいない状況での再起動を推奨します。
コラボフロー利用中に停止をおこなうと、入力中の内容が消失する可能性があります。
コメント
0件のコメント
記事コメントは受け付けていません。