ColdFusion

ColdFusion

[ColdFusion Security] LOG4J 이슈

늦었지만 Coldfusion 서버들의 Log4J 이슈를 정리해 봤습니다. 현재 개발자나 사용자가 신규로 도입하고자 하는 ColdFusion은 대부분 Adobe社의 제품이거나 Lucee와 같은 오픈소스일 확률이 큽니다. 물론 레거시 시스템에서는 구형 Adobe ColdFusion 서버가 구동되고 있을 수 있고, 또 지금은 없어진 회사의 제품이 구동 중일 수 있습니다. 가장 유명하고 사실상 표준인 Adobe의 경우 다음의 링크에서 버전별로 조치방법을 구할 수 있습니다. 각 버전별로 대동소이하므로 자기에게 맞는 버전별 조치를 하시면 되는데 간단하게 설명드리자면, 서버 설치 경로의 jvm.config(텍스트파일)을 열어 임시조치하는 방법과 패치를 설치하는 방법으로 조치합니다. Log4j vulnerability..

ColdFusion

[ColdFusion Security] Lucee 5.3.7.47 관리자 화면 접속 불가

기본적으로 Lucee Server의 경우 Java기반의 웹어플리케이션 서버이다 보니 Java를 통한 시스템접근에 대한 보안 이슈가 있을 수 밖에 없습니다. 즉, .cfm파일을 작성하여 사용할 때 시스템 내부의 파일과 폴더에 접근이 되는 보안상 문제가 생길 수 있습니다. 분명 어플리케이션을 만들다보면 시스템에 파일을 기록하거나(게시판에서 업로드하는 것과 같은) 아니면, 파일을 삭제하거나, 이동하거나 하는 기능이 필요합니다. 그런데 Web root를 벗어나서 시스템의 중요 파일이 존재하는 /bin이나, /etc 등에 접근이 가능하다면 보안에 매우 취약해 지겠죠? 그래서 Lucee Server의 관리자에 들어가보면 아래 그림처럼 Securty 메뉴에 Access에 대한 다양한 보안기능을 제공합니다. 특히 이중..

ColdFusion

Adobe ColdFusion Pre-Release Program Closure

Adobe는 자사의 SW제품을 출시하기전에 일종의 베타테스트를 위해 특별히 지원한 테스터들에게 출시전 제품을 제공하고 피드백을 받는 프로그램을 운영중에 있습니다. 유명한 포토샵은 물론이거니와 제가 참여하는 Dreamweaver나 서버제품군인 ColdFusion도 운영중인데 엊그제 ColdFusion의 프리릴리즈 프로그램은 종료한다는 메일이 왔네요. 그냥 닫는다는 것인지, 저에게만 닫는다는 것인지. ㅋㅋ 설명도 없고 참 성의없네요. 이유조차 없이 닫는거 보니 그동안 이 프로그램의 성과가 별로 없었나 봅니다. 사실 저 역시 새 릴리즈가 올라오면 깔아서 써보도 열심히 오류나 개선점을 리포트하면 좋은데 단 한번도 ㅋ 영어가 안된다는 이유를 핑계로 한글지원쪽 오류가 아니면 리포트를 해본 적이 없습니다. ㅠㅠ 그래..

ColdFusion

ColdFusion에서의 QR코드 생성, 그리고 Image Masking

ColdFusion(또는 Java)에서 QR코드를 생성하려면 대표적인게 구글의 zxing이 있겠지만 딱 한가지 단점이 있습니다. zxing의 경우 QR코드의 색상은 변경이 가능하지만 배경을 흰바탕으로만 만들어져서 QR코드를 디자인 등에 활용하기에 제약이 있습니다. 반면 주로 PDF의 생성 등으로 활용하는 iText를 이용하면 QR코드의 배경을 투명하게 처리할 수 있는데요, 현재 iText가 버전이 7.X대로 업그레이드 되어 있지만 구버전인 5.X대도 현재의 ColdFusion 서버들 예를 들어 Adobe Coldfusion 2018, Lucee 5.x에서도 그대로 활용가능합니다. 물론 zxing은 QR코드의 해석에도 활용되므로 오늘의 코드에서도 필요한 라이브러리입니다. 오늘은 Adobe ColdFusio..

ColdFusion

Lucee Server에서 PDF생성 시 한글 폰트(CJK custom font) 사용하기

Adobe ColdFusion(https://www.adobe.com/kr/products/coldfusion-family.html)의 경우 CFML를 작성하여 동적으로 PDF를 생성할때 필요한 서체를 사전에 Administrator환경에서 서버상의 Font 목록을 조회하고 등록하여 쓸 수 있는 있t습니다. 물론 서체가 없는 경우 기본 시스템서체를 활용하여 보여줍니다만 한글서체가 서버에 설치되어 있지 않다면 제대로 표현이 불가능합니다. 마찬가지로 Railo(현재는 Lucee로 Fork)에서도 비슷한 기능을 관리자 기능에서 제공했으나 Lucee(https://lucee.org)에서는 해당기능이 빠져버렸고 PDF엔진 자체도 최근 변경이 되어 fonts.jar 파일에 폰트를 추가하는 방법으로는 해결이 안됩니다..

ColdFusion

Adobe ColdFusion Express Edition 다운로드

Adobe ColdFusion은 Trial 버전으로 사용하고 Trial 기간이 끝나면 10개의 Connection으로 제한되는 모든 기능을 사용할 수 있는 Deveolper edtion으로 작동합니다만, Trial을 다운로드하려면 Adobe.com에 반드시 회원가입을 해야 하는 불편함?이 있습니다. 이때 이용할 수 있는 것이 Express edition인데요, 다음의 링크에서 운영체제별로 다운로드 할 수 있습니다. https://www.adobe.com/products/coldfusion-family.html Adobe ColdFusion family ColdFusion Enterprise A platform ideally suited to create scable, high-performing web ..

nooree
'ColdFusion' 태그의 글 목록