2022年3月14日(日本時間3月15日未明)に、ColdFusion 2021と 2018に向けた新しいUpdateがリリースされました。*1
今回のUpdateについて
機能修正などは行われず、CF2021 Update 5→6 または CF2018 Update 15→16 から脆弱性の修正のみが追加されています。
日本語の情報はこちらを見てください
- ColdFusion 2021 アップデート 6 についての参考情報 - ColdFusion Associate
- ColdFusion 2018 アップデート 16 についての参考情報 - ColdFusion Associate
その他
今回セキュリティの優先度が最も高いです。これは、修正された脆弱性のうちの1つが非常に限定的な攻撃で悪用されていることを認識したためでそうです。また、こういう(↓のリンク先)情報も出ています。この情報から攻撃方法を辿られる可能性も無いとは言い切れないので、外部からのリクエストを受け付けているサイトは、急ぎUpdateの適用をすることと、Updateの適用前でも下記のリンク先のページを見てIISやApacheで特定のクエリ文字列が含まれるリクエストをブロックする方が良いでしょう。 https://www.carehart.org/blog/2023/3/17/coldfusion_march_2023_emergency_update/
*1:ColdFusion 2016以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2021や2018へのバージョンアップが推奨されます。