2023年7月19日(日本時間7月20日未明)に、ColdFusion 2023と2021、2018に向けた新しいUpdateがリリースされました。*1
今回のUpdateについて
7月19日(日本時間20日未明)に公開されたColdFusion 2023 Update 2、ColdFusion 2021 Update 8、2018 Update 18で修正された脆弱性に対するさらに追加の修正のようです。緊急度・優先度が最も高い脆弱性の修正が行われています。外部からのリクエストを受け付けているサイトは、Updateを適用してください。開発元でも直ちに適用することが推奨されています。
Updateは過去の修正も含むため、例えばColdFusion 2021 Update 9を適用すると、Update 1~8の修正も含まれます
日本語の情報
- ColdFusion 2023 アップデート 3 についての参考情報 - ColdFusion Associate
- ColdFusion 2021 アップデート 9 についての参考情報 - ColdFusion Associate
- ColdFusion 2018 アップデート 19 についての参考情報 - ColdFusion Associate
その他
今回もセキュリティの優先度が最も高いです。修正されたうちの一つ(CVE-2023-38205)がColdFusionをターゲットとした限定的な攻撃に悪用されていることを認識しているためです。CVE-2023-38205 と 今回修正された別の脆弱性を組み合わせて、攻撃するなども可能な模様ですので、外部からのアクセスが可能なサイトでColdFusionを使用している場合はUpdateを適用してください。
*1:ColdFusion 2016以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2023や2021へのバージョンアップが推奨されます。