Adobe社より「Adobe ColdFusion」の修正アップデートが公開されました。
このアップデートにはセキュリティ情報 APSB25-15 の脆弱性に関する修正も含まれます。手順を確認のうえ更新をお願いいたします。
対象環境
- ColdFusion 2023 をご利用中で、アップデート 13 を適用する
- ColdFusion 2023 を新規セットアップし、初めてアップデートを適用する
セキュリティ情報
公開されたセキュリティ情報・脆弱性の詳細は以下を参照ください。
Security updates available for Adobe ColdFusion | APSB25-15(英語ページ)
含まれるCVE識別番号は以下のとおりです。
CVE-2025-24446、CVE-2025-24447、CVE-2025-30281、CVE-2025-30282、CVE-2025-30284、CVE-2025-30285、CVE-2025-30286、CVE-2025-30287、CVE-2025-30288、CVE-2025-30289、CVE-2025-30290、CVE-2025-30291、CVE-2025-30292、CVE-2025-30293、CVE-2025-30294
アップデート適用の流れ
ColdFusionのアップデートおよび追加の設定変更が必要になります。
【1】ColdFusionのアップデート
サムライズ社(ColdFusion販売代理店)の以下記事を確認し、アップデートを適用します。
【2】jvm.config ファイルのバックアップ
後続の設定を誤るとColdFusionが起動できなくなる場合があるので、必ず事前に以下のファイルをコピーしてバックアップしてください。
- バックアップするファイル
C:\ColdFusion2023\cfusion\bin\jvm.config
※「C:\ColdFusion2023」は、ColdFusionのインストール先フォルダによって異なります。
【3】JVM 引数の追加
-
ColdFusionの管理画面を開き、ログインします。
-
左側のメニューから「サーバの設定 > JavaとJVM」画面を表示します。
-
「JVM 引数」項目の一番最後に、以下の設定値を半角空白で区切って追加します。
※過去のアップデートや対策で既に追加されている設定値は重複しないようご調整ください。-Dcoldfusion.cfencode.decryption.enable=true-Dcoldfusion.compiler.block.bytecode=false-Dcoldfusion.encryption.useCFMX_COMPATAsDefault=TRUE-Dcoldfusion.searchimplicitscopes=true -
以下を参考にして「JVM 引数」に「
--add-opens=java.base/java.util=ALL-UNNAMED」も追加します。
ColdFusion 2023 環境でExcelフォームの編集や帳票設定のプレビューでエラーになる -
「変更の送信」ボタンをクリックします。
【4】cfserialfilter.txt ファイルの修正
サムライズ社の以下記事を参照し、「(方法1)cfserialfilter.txtに”coldfusion.filter.FormScope;”を追加する」を実施してください。
【5】動作確認
ColdFusion Application サービスを再起動した後に、コラボフローにログインできるか確認します。
プロキシについて
ColdFusionのアップデートにWebプロキシサーバーを経由する必要がある場合は、以下の記事を参考されるか、次項の手動で適用をご検討ください。
ColdFusionのアップデートを手動で適用する
ColdFusionのアップデートに必要なファイルを手動でダウンロードしてコマンドプロンプトを利用した更新を実施するには、サムライズ社の以下の記事を参照ください。
補足
これはコラボフローの動作に必要なミドルウェア「Adobe ColdFusion」の不具合であり、コラボフローの修正はありません。
サービス停止中のコラボフローの稼動について
サービス停止中は、コラボフローにアクセスできなくなります。
停止をおこなう際は、事前に告知し利用者がいない状況での再起動を推奨します。
コラボフロー利用中に停止をおこなうと、入力中の内容が消失する可能性があります。
コメント
0件のコメント
記事コメントは受け付けていません。