この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
2013年1月15日(US時間)にColdFusion 9 および ColdFusion 10のセキュリティアップデートが出ました。
アップデートの内容は『不正ユーザーが遠隔操作で認証機能を迂回し、対象のサーバーを不正に制御できるようになる恐れのある脆弱性の解消。』です。早速適用してみましたが、内容が内容だけに正しく適用できたかを確認できてませんが。。。ColdFusion Administrator画面の『設定と要約』をクリックして、Update Levelが/C:/ColdFusion9/lib/updates/hf900-00009.jarとなっているくらいでしょうか。。。
脆弱性に関する詳細は下記、メーカーページにてご覧ください。
メーカーページへ
CF9のスタンドアローン版のアップデート(HotFix)の簡単な流れとして
- 各バージョンに対応したZIPファイルを2種類ダウンロードして、適当なディレクトリに解凍する
- ColdFusion Administrator画面を開いて右上にある "i" アイコンをクリックする。
- CF9.zipを解凍したフォルダ内(CF9¥lib¥updates)にhf900-00009.jarがあるのでそのファイルを更新ファイルに指定して『変更を送信』をクリック
- 変更適用時にColdFusionの再起動が求められるかもしれませんが、この段階で一度ColdFusionのサービスを停止させます。
- {ColdFusion-Home}¥lib¥updatesディレクトリに移動し、hf900-00001.jar, hf900-00002.jar, hf900-00003.jar, hf900-00004.jar, hf900-00005.jar, hf900-00006.jar, hf900-00007.jar, hf900-00008.jarファイルが存在する場合は削除します。
- {CFIDE-HOME}のCFIDEフォルダ及び{ColdFusion-Home}¥wwwroot¥WEB-INFのフォルダをバックアップします。
- CFIDE-9.zipを解凍した際にできたCFIDEフォルダを{CFIDE-HOME}のCFIDEに上書きします。
- CF9.zipを解凍したフォルダ内にWEB-INF.zipがあるので、それを解凍して{ColdFusion-Home}¥wwwroot¥WEB-INFに上書きします。
- {ColdFusion-Home}¥libフォルダに移動して、log4j.properties, flex-messaging-common.jar, flex-messaging-core.jar 3つのファイルをバックアップします。
- CF9.zipを解凍したディレクトリ内のlibフォルダを{ColdFusion-Home}¥libに上書きします。
- ColdFusionのサービスを起動します。
手順の詳細はメーカが出しているこちらのページで自己責任でアップデートしてください。
3
