2021/12/15にAdobe社より「Adobe ColdFusion」でのライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)に関する影響調査の結果が公表されました。つきましては、脆弱性対策の実施をお願いいたします。
対象環境
- ColdFusion 2018 をご利用中
問題の説明
Adobe社より「Adobe ColdFusion」でのApache Log4j ライブラリの脆弱性(CVE-2021-44228)に関する影響調査の結果が公表されました。
Apache Log4j ライブラリの脆弱性については、Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起をご確認ください。
2021年12月20日 追記:
任意のコード実行の脆弱性(CVE-2021-44228)への対策に加え、サービス運用妨害攻撃の脆弱性(CVE-2021-45046)が存在することが判明いたしました。
脆弱性対策
事前準備
設定を誤りますとColdFusionが起動できなくなる場合がありますので、必ず事前に以下のファイルをコピーしてバックアップしてください。
- {ColdFusionインストールルート}\cfusion\bin\jvm.config
例:ColdFusion 2018の場合
既定では C:\ColdFusion2018\cfusion\bin\jvm.config
となります。
対策手順について
Log4j vulnerability on ColdFusion - Adobe をご参照ください。
2021年12月17日 追記:
Adobe社より上記ページの日本語版が公開されました。
ColdFusion での Log4j の脆弱性について
参考情報
サムライズ社(ColdFusion販売代理店)に日本語翻訳された手順の記載がございます。
ColdFusionのLog4jの脆弱性についての参考情報
復元手順について
ColdFusionサービスを開始しても、状態が実行中にならない(停止してしまう)場合はJVMの設定に問題があります。
事前にバックアップしておいたファイル「jvm.config」を元の場所に上書きして元に戻し、ColdFusion Applicationサービスを開始することでリカバリできます。
サービス停止中のコラボフローの稼動について
サービス停止中は、コラボフローにアクセスできなくなります。
停止をおこなう際は、事前に告知し利用者がいない状況での再起動を推奨します。
コラボフロー利用中に停止をおこなうと、入力中の内容が消失する可能性があります。
補足
これはコラボフローの動作に必要なミドルウェア「Adobe ColdFusion」で使用されているライブラリ「Apache Log4j」の不具合であり、コラボフローの問題ではありません。
コメント
0件のコメント
記事コメントは受け付けていません。