ColdFusion updater（HotFIx）の適用で脆弱性に対処しよう

2013年1月15日（US時間）にColdFusion 9 および ColdFusion 10のセキュリティアップデートが出ました。

アップデートの内容は『不正ユーザーが遠隔操作で認証機能を迂回し、対象のサーバーを不正に制御できるようになる恐れのある脆弱性の解消。』です。早速適用してみましたが、内容が内容だけに正しく適用できたかを確認できてませんが。。。ColdFusion Administrator画面の『設定と要約』をクリックして、Update Levelが/C:/ColdFusion9/lib/updates/hf900-00009.jarとなっているくらいでしょうか。。。

脆弱性に関する詳細は下記、メーカーページにてご覧ください。
メーカーページへ

CF9のスタンドアローン版のアップデート（HotFix）の簡単な流れとして

1. 各バージョンに対応したZIPファイルを２種類ダウンロードして、適当なディレクトリに解凍する
2. ColdFusion Administrator画面を開いて右上にある "i" アイコンをクリックする。
3. CF9.zipを解凍したフォルダ内（CF9¥lib¥updates）にhf900-00009.jarがあるのでそのファイルを更新ファイルに指定して『変更を送信』をクリック
4. 変更適用時にColdFusionの再起動が求められるかもしれませんが、この段階で一度ColdFusionのサービスを停止させます。
5. {ColdFusion-Home}¥lib¥updatesディレクトリに移動し、hf900-00001.jar, hf900-00002.jar, hf900-00003.jar, hf900-00004.jar, hf900-00005.jar, hf900-00006.jar, hf900-00007.jar, hf900-00008.jarファイルが存在する場合は削除します。
6. {CFIDE-HOME}のCFIDEフォルダ及び{ColdFusion-Home}¥wwwroot¥WEB-INFのフォルダをバックアップします。
7. CFIDE-9.zipを解凍した際にできたCFIDEフォルダを{CFIDE-HOME}のCFIDEに上書きします。
8. CF9.zipを解凍したフォルダ内にWEB-INF.zipがあるので、それを解凍して{ColdFusion-Home}¥wwwroot¥WEB-INFに上書きします。
9. {ColdFusion-Home}¥libフォルダに移動して、log4j.properties, flex-messaging-common.jar, flex-messaging-core.jar　３つのファイルをバックアップします。
10. CF9.zipを解凍したディレクトリ内のlibフォルダを{ColdFusion-Home}¥libに上書きします。
11. ColdFusionのサービスを起動します。

手順の詳細はメーカが出しているこちらのページで自己責任でアップデートしてください。