先日発表されたColdFusionの脆弱性対応の為にColdFusion 10 Update 21を適用した時のメモ。
Adobe ColdFusion の Office Open XML 機能における任意のファイルを読まれる脆弱性
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004514.html
ColdFusion 10 Update 21 (release date August 30, 2016)
https://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-21.html
ColdFusion 10 Update 21は累積パッチです。
作業前のバージョンはColdFusion 10 10.282462です。このバージョンはColdFusion 10必須アップデートが適用されていない状態です。
ColdFusion 10必須アップデート
https://helpx.adobe.com/jp/coldfusion/kb/coldfusion-10-mandatory-update.html
- ColdFusion 10必須アップデート適用
- ColdFusion 10 Update 21適用
- コネクタ再作成
- Apache,ColdFusion再起動
hf-updatesディレクトリがない場合は作成して下さい。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 |
# cd /opt/coldfusion10/cfusion/hf-updates/ # wget http://download.macromedia.com/pub/coldfusion/10/cf10_mdt_updt.jar download.macromedia.com をDNSに問いあわせています... 23.34.42.13 download.macromedia.com|23.34.42.13|:80 に接続しています... 接続しました。 HTTP による接続要求を送信しました、応答を待っています... 200 OK 長さ: 5144323 (4.9M) `cf10_mdt_updt.jar' に保存中 100%[======================================>] 5,144,323 16.0M/s 時間 0.3s 2016-09-09 16:19:14 (16.0 MB/s) - `cf10_mdt_updt.jar' へ保存完了 [5144323/5144323] # java -jar cf10_mdt_updt.jar =============================================================================== Choose Locale... ---------------- 1- English ->2- 日本語 CHOOSE LOCALE BY NUMBER: 2 =============================================================================== Adobe ColdFusion 10 (created with InstallAnywhere) ------------------------------------------------------------------------------- Preparing CONSOLE Mode Installation... =============================================================================== はじめに ---- インストーラーは Adobe ColdFusion 10 Updateのインストール手順をご案内します。 スタンドアローンインストールの場合、サーバーの停止と再起動はインストーラーによって行われます。 マルチサーバーインストールの場合、デフォルトサーバーのみが自動的に停止します。 その他のすべてのサーバーは手動で停止する必要があります。インストール後、イン ストーラーによってすべてのサーバーが再起動されます。 J2EE インストールの場合、ColdFusionインスタンスの停止と起動を手動で行う必要 があります。 各プロンプトに応えると、インストールの次の手順へ進みます。「back」と入力する と、前の手順の設定を変更できます。 続行するには <ENTER> キーを押します。: =============================================================================== 使用許諾契約 ------ Adobe ColdFusion 10 Update をインストールして使用するには、次の 使用許諾契約に同意する必要があります。 プレビューするファイルが見つかりませんでした。 この使用許諾契約の条項に同意しますか。 (Y/N): Y =============================================================================== ColdFusion 10 ホームディレクトリを選択 -------------------------- ColdFusion 10 インストールのルートフォルダーを選択してください (例 :/Applications/ColdFusion10) J2EE インストールの場合は、WEB-INF/CFIDE/META-INFが含まれている WAR ディレ クトリです。 ColdFusion 10 の場所を指定してください。 (デフォルト:/opt/coldfusion10): =============================================================================== プリインストールの要約 ----------- 続行する前に、次を確認してください : インストール フォルダー: /opt/coldfusion10 続行するには <ENTER> キーを押します。: =============================================================================== インストール中... ---------- [==================|==================|==================|==================] [------------------|------------------|------------------|------------------] =============================================================================== インストール完了 -------- 完了しました。Adobe ColdFusion 10 Updateは正常にインストールされました。 次の位置にあるインストールログ、バックアップディレクトリおよびホットフィック スアンインストーラーにアクセスしてください : /opt/coldfusion10/cfusion/hf-updates/hf-10-00000 サーバーを再起動しています... これには時間がかかる場合があります。しばらくし てから、サーバーのステータスを確認してください。 <ENTER> キーを押すと、インストーラーが終了します。: |
ColdFusion 10必須アップデートを適用でバージョンはColdFusion 10.283111になります。
ColdFusion 10必須アップデートを適用していない状態でUpdaterの適用を実施すると下記のエラーメッセージが表示されます。
今回はColdFusion Administrator(Web管理ツール)を利用して適用してみました。
ログイン後に[アップデートを確認]でアップデート情報を確認します。当然、サーバはインターネット接続が必要になります。
[ダウンロードとインストール]をクリックします。インストールにはColdFusionの再起動が必要になります。
ColdFusion 10 Update 21適用でバージョンはColdFusion 10,0,21,300068になりました。
一応これでもWebアプリは動作しているようでしたが、コネクタの再作成を指示されていたので作業を行いました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
# /opt/coldfusion10/cfusion/runtime/bin/wsconfig -uninstall httpd を停止中: [ OK ] Restarted Apache server] The Apache connector was removed from /etc/httpd/conf # /opt/coldfusion10/cfusion/runtime/bin/wsconfig -ws Apache -bin /usr/sbin/httpd -script /usr/sbin/apachectl -dir /etc/httpd/conf -v command line: -ws Apache -bin /usr/sbin/httpd -script /usr/sbin/apachectl -dir /etc/httpd/conf -v Red Hat Enterprise Linux Server release 6.2 (Santiago) Using Apache binary /usr/sbin/httpd Server's Module Magic Number: 20051115:24. Supported major magic numbers on this platform are 20020628 and 20020903. Attempting to build connector from sources Server version: Apache/2.2.xx (Unix) Using Apache control script /usr/sbin/apachectl Parsing Apache configuration file /etc/httpd/conf/httpd.conf Exec'ing chmod 777 /opt/coldfusion10/config/wsconfig/1 Set permission to 777 on /opt/coldfusion10/config/wsconfig/1 Exec'ing chmod +x /opt/coldfusion10/config/wsconfig/1/mod_jk.so Set permission to execute on /opt/coldfusion10/config/wsconfig/1/mod_jk.so Created file /opt/coldfusion10/config/wsconfig/1/mod_jk.so Wrote file /etc/httpd/conf/httpd.conf Added ColdFusion configuration to Apache configuration file /etc/httpd/conf/httpd.conf Created file /opt/coldfusion10/config/wsconfig/1/README Wrote file /opt/coldfusion10/config/wsconfig/wsconfig.properties Exec'ing /usr/sbin/apachectl restart Restarted Apache server The Apache connector was installed to /etc/httpd/conf |
しつこいようですが念の為にApache,ColdFusionの再起動を行いました。
後はWebアプリケーションが正常に動作しているか確認すれば終了です。