米国時間 2024年3月12日(日本時間3月13日(水))に ColdFusion 2023 Update 7が公開されました。*1
NOW LIVE! Adobe ColdFusion 2023 and 2021 March 202... - Adobe Community - 14484470
今回のUpdateについて
このアップデートは、セキュリティ情報 APSB24-14 (優先度3)の修正が含まれます(優先度は、外部サイトでのセキュリティ情報に関するPoCなどが公開される等によって変更される場合があります)。また、いくつかの不具合の修正と内部エンジンTomcatが更新、いくつかのライブラリやColdFusionパッケージの更新が行われています。
日本語の情報
その他
上記の参考情報内にも記載がありますが、このUpdate以降は、CGI変数やForm変数、URL変数といった一部の変数の暗黙の検索がデフォルトで無効化されます。これはスコープインジェクションと呼ばれる攻撃を防ぐことが目的です。ただし、プログラムの修正箇所が多いなど、影響が多い場合は、元の動作に戻す設定やJVM引数が用意されています(元に戻すのはお勧めされていません)。
※過去のFAQ記事を今回のUpdateに合わせて内容を変更しました。 cfassociates.samuraiz.co.jp
また、本Updateに関するメーカーの日本語ページは、一部が情報が更新されていないため、誤りがありますのでご注意ください。メーカーの英語のUpdateページを見ることをおすすめします。
*1:ColdFusion 2018以前のバージョンは既にメーカーサポートが終了しており、それらバージョンのUpdateはリリースされません。セキュリティ等への備えが必要なサイトを運営されている場合は、メーカーサポートが提供されているColdFusion 2023や2021へのバージョンアップが推奨されます。