ColdFusion updater(HotFIx)の適用で脆弱性に対処しよう

2013.01.17

2013年1月15日(US時間)にColdFusion 9 および ColdFusion 10のセキュリティアップデートが出ました。

アップデートの内容は『不正ユーザーが遠隔操作で認証機能を迂回し、対象のサーバーを不正に制御できるようになる恐れのある脆弱性の解消。』です。早速適用してみましたが、内容が内容だけに正しく適用できたかを確認できてませんが。。。ColdFusion Administrator画面の『設定と要約』をクリックして、Update Levelが/C:/ColdFusion9/lib/updates/hf900-00009.jarとなっているくらいでしょうか。。。

脆弱性に関する詳細は下記、メーカーページにてご覧ください。
メーカーページへ

CF9のスタンドアローン版のアップデート(HotFix)の簡単な流れとして

  1. 各バージョンに対応したZIPファイルを2種類ダウンロードして、適当なディレクトリに解凍する
  2. ColdFusion Administrator画面を開いて右上にある "i" アイコンをクリックする。
  3. CF9.zipを解凍したフォルダ内(CF9¥lib¥updates)にhf900-00009.jarがあるのでそのファイルを更新ファイルに指定して『変更を送信』をクリック
  4. 変更適用時にColdFusionの再起動が求められるかもしれませんが、この段階で一度ColdFusionのサービスを停止させます。
  5. {ColdFusion-Home}¥lib¥updatesディレクトリに移動し、hf900-00001.jar, hf900-00002.jar, hf900-00003.jar, hf900-00004.jar, hf900-00005.jar, hf900-00006.jar, hf900-00007.jar, hf900-00008.jarファイルが存在する場合は削除します。
  6. {CFIDE-HOME}のCFIDEフォルダ及び{ColdFusion-Home}¥wwwroot¥WEB-INFのフォルダをバックアップします。
  7. CFIDE-9.zipを解凍した際にできたCFIDEフォルダを{CFIDE-HOME}のCFIDEに上書きします。
  8. CF9.zipを解凍したフォルダ内にWEB-INF.zipがあるので、それを解凍して{ColdFusion-Home}¥wwwroot¥WEB-INFに上書きします。
  9. {ColdFusion-Home}¥libフォルダに移動して、log4j.properties, flex-messaging-common.jar, flex-messaging-core.jar 3つのファイルをバックアップします。
  10. CF9.zipを解凍したディレクトリ内のlibフォルダを{ColdFusion-Home}¥libに上書きします。
  11. ColdFusionのサービスを起動します。

手順の詳細はメーカが出しているこちらのページで自己責任でアップデートしてください。