mursのColdFusionメモ

頭の中から抜け落ちていく情報をメモがわりに書き溜めていくブログです。

ColdFusion 2023 Update 7、2021 Update 13リリース

米国時間 2024年3月12日(日本時間3月13日(水))に ColdFusion 2023 Update 7が公開されました。*1

NOW LIVE! Adobe ColdFusion 2023 and 2021 March 202... - Adobe Community - 14484470

今回のUpdateについて

このアップデートは、セキュリティ情報 APSB24-14 (優先度3)の修正が含まれます(優先度は、外部サイトでのセキュリティ情報に関するPoCなどが公開される等によって変更される場合があります)。また、いくつかの不具合の修正と内部エンジンTomcatが更新、いくつかのライブラリやColdFusionパッケージの更新が行われています。

日本語の情報

cfassociates.samuraiz.co.jp

cfassociates.samuraiz.co.jp

その他

上記の参考情報内にも記載がありますが、このUpdate以降は、CGI変数やForm変数、URL変数といった一部の変数の暗黙の検索がデフォルトで無効化されます。これはスコープインジェクションと呼ばれる攻撃を防ぐことが目的です。ただし、プログラムの修正箇所が多いなど、影響が多い場合は、元の動作に戻す設定やJVM引数が用意されています(元に戻すのはお勧めされていません)。

※過去のFAQ記事を今回のUpdateに合わせて内容を変更しました。 cfassociates.samuraiz.co.jp

また、本Updateに関するメーカーの日本語ページは、一部が情報が更新されていないため、誤りがありますのでご注意ください。メーカーの英語のUpdateページを見ることをおすすめします。

*1:ColdFusion 2018以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2023や2021へのバージョンアップが推奨されます。

ColdFusion 2023 Update 6、2021 Update 12 リリース

ColdFusion-アップデート ColdFusion

2023年11月14日(日本時間11月5日水曜日未明)に、ColdFusion 2023と2021に向けた新しいUpdateがリリースされました。*1

NOW LIVE! Adobe ColdFusion 2023 and 2021 November ... - Adobe Community - 14233917

今回のUpdateについて

セキュリティ問題の修正(https://helpx.adobe.com/security/products/coldfusion/apsb23-52.html)が行われています。パッケージの更新などはありません。

日本語の情報

cfassociates.samuraiz.co.jp

cfassociates.samuraiz.co.jp

その他

まとまり次第、追記します

*1:ColdFusion 2018以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2023や2021へのバージョンアップが推奨されます。

ColdFusion 2023 Update 5、2021 Update 11リリース

ColdFusion ColdFusion-アップデート

2023年10月6日(日本時間10月7日土曜日未明)に、ColdFusion 2023と2021に向けた新しいUpdateがリリースされました。*1

NOW LIVE! Adobe ColdFusion 2023 and 2021 October u... - Adobe Community - 14137709

今回のUpdateについて

約25個(CF2021は約30個)のバグフィックス、パッケージの更新(CF2023は全部、CF2021は一部)、Tomcatなどライブラリの更新、Webサーバーコネクタの更新などが含まれています。Updateを適用したらWebサーバーコネクタの再定義を行ってください。

日本語の情報

cfassociates.samuraiz.co.jp

cfassociates.samuraiz.co.jp

その他

まとまり次第、追記します

*1:ColdFusion 2018以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2023や2021へのバージョンアップが推奨されます。

ColdFusion 2023 Update 4、2021 Update 10 リリース

ColdFusion ColdFusion-アップデート

2023年8月17日(日本時間8月17日夕方)に、ColdFusion 2023と2021に向けた新しいUpdateがリリースされました。*1

community.adobe.com

今回のUpdateについて

7月に公開されたColdFusion 2023 Update 1、ColdFusion 2021 Update 7から、既存のシリアルフィルターに、Wddx パケットの逆シリアル化を許可・または拒否も追加されましたが、このUpdateでWddx用に独立したフィルター(cfserialfilter.txt)が提供されます。

日本語の情報

公開され次第、追記します。

その他

今回は新たな脆弱性の修正は含まれていません。

*1:ColdFusion 2018以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2023や2021へのバージョンアップが推奨されます。

ColdFusion 2023 Update 3、2021 Update 9、2018 Update 19 リリース

ColdFusion ColdFusion-アップデート ColdFusion-情報

2023年7月19日(日本時間7月20日未明)に、ColdFusion 2023と2021、2018に向けた新しいUpdateがリリースされました。*1

helpx.adobe.com

今回のUpdateについて

7月19日(日本時間20日未明)に公開されたColdFusion 2023 Update 2、ColdFusion 2021 Update 8、2018 Update 18で修正された脆弱性に対するさらに追加の修正のようです。緊急度・優先度が最も高い脆弱性の修正が行われています。外部からのリクエストを受け付けているサイトは、Updateを適用してください。開発元でも直ちに適用することが推奨されています。

Updateは過去の修正も含むため、例えばColdFusion 2021 Update 9を適用すると、Update 1~8の修正も含まれます

日本語の情報

その他

今回もセキュリティの優先度が最も高いです。修正されたうちの一つ(CVE-2023-38205)がColdFusionをターゲットとした限定的な攻撃に悪用されていることを認識しているためです。CVE-2023-38205 と 今回修正された別の脆弱性を組み合わせて、攻撃するなども可能な模様ですので、外部からのアクセスが可能なサイトでColdFusionを使用している場合はUpdateを適用してください。

*1:ColdFusion 2016以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2023や2021へのバージョンアップが推奨されます。

ColdFusion 2023 Update 2、2021 Update 8、2018 Update 18 リリース

ColdFusion ColdFusion-アップデート ColdFusion-情報

2023年7月14日(日本時間7月15日未明)に、ColdFusion 2023と2021、2018に向けた新しいUpdateがリリースされました。*1

helpx.adobe.com

今回のUpdateについて

7月11日(日本時間12日未明)に公開されたColdFusion 2023 Update 1、ColdFusion 2021 Update 7、2018 Update 17で修正された脆弱性に対する追加の修正のようです。緊急度・優先度が最も高い脆弱性の修正が行われています。外部からのリクエストを受け付けているサイトは、Updateを適用してください。開発元でも直ちに適用(例えば72時間以内)に適用されることが推奨されています。

Updateは過去の修正も含むため、例えばColdFusion 2021 Update 8を適用すると、Update 1~7の修正も含まれます

日本語の情報

その他

APSB23-41で修正されている脆弱性(CVE-2023-26360)については、PoC(proof of concept:脆弱性を実証するプログラム)がブログに投稿されたことをアドビは認識しています。

また、公式な情報ではない外部サイトのブログですが、今回のAPSB23-41のリリースの経緯についても書かれています。

Active Exploitation of Multiple Adobe ColdFusion Vulnerabilities | Rapid7 Blog

*1:ColdFusion 2016以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2023や2021へのバージョンアップが推奨されます。