2023年7月14日(日本時間7月15日未明)に、さらに更新された新しいUpdate(CF2023 Upd2、CF2021 Upd8、CF2018 Upd18)がリリースされました。この投稿は古いので新しい投稿を確認してください
2023年7月11日(日本時間7月12日未明)に、ColdFusion 2023と2021、2018に向けた新しいUpdateがリリースされました。*1
今回のUpdateについて
機能修正などは行われず、3月のColdFusion 2021 Update 6、2018 Update 16のリリース以降に新たに確認された脆弱性の修正が追加されています。3月のUpdateに続き、緊急度・優先度が最も高い脆弱性の修正が行われています。外部からのリクエストを受け付けているサイトは、PoCが出まわる前にUpdateを適用してください。開発元でも直ちに適用(例えば72時間以内)に適用されることが推奨されています。
Updateは過去の修正も含むため、例えばColdFusion 2021 Update 7を適用すると、Update 1~6の修正も含まれます
日本語の情報はまだ公開されていません
まもなく公開されると思われます。公開されたら追記します
その他
アドビのセキュリティ速報のページ内に、ColdFusionが使用するJavaを最新にすることを推奨する記載がありますが、内容に一部誤りがあります。ColdFusion 2023はJava 17のみをサポートしています。ColdFusion 2021 / 2018 はJava 11のみをサポートしていますので、最新のJavaに更新する際は、Java 11の最新リビジョンに更新してください(Java 17を適用しない)
Adobe recommends updating your ColdFusion JDK/JRE to the latest version of the LTS releases for JDK 17 where applicable. Applying the ColdFusion update without a corresponding JDK update will NOT secure the server. See the relevant Tech Notes for more details.
(google翻訳)アドビでは、必要に応じて、ColdFusion JDK/JRE を JDK 17 用の最新バージョンの LTS リリースに更新することをお勧めします。対応する JDK アップデートなしで ColdFusion アップデートを適用しても、サーバーは保護されません。詳細については、関連するテクニカルノートを参照してください。
*1:ColdFusion 2016以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2023や2021へのバージョンアップが推奨されます。
