PROBLEM
McAfee Endpoint Security identifiziert JAVA.exe als eine potentielle Bedrohungsquelle in Portal for ArcGIS oder ArcGIS Data Store
Beschreibung
Während der normalen Verwendung der ArcGIS Enterprise-Komponenten "Portal for ArcGIS" und "ArcGIS Data Store" werden Administratoren möglicherweise Informationswarnungen angezeigt, die von McAfee Endpoint Security generiert wurden.
Diese Warnungen können in etwa wie folgt lauten:
Zeitpunkt des Ereignisses: 1/1/22 12:08:51 AM BST
Name des Benutzers der Bedrohungsquelle: computer.domäne.com\benutzername
Prozessname der Bedrohungsquelle: java.exe
Quelldateipfad: C:\Program Files\ArcGIS\DataStore\framework\runtime\jre\bin
Quellbeschreibung: "C:\Program Files\ArcGIS\DataStore\framework\runtime\jre\bin\java" -classpath "C:\Program Files\ArcGIS\DataStore\framework\lib\arcgis-nodeagent.jar;C:\Program Files\ArcGIS\DataStore\framework\lib\arcgis-common.jar;C:\Program Files\ArcGIS\DataStore\framework\lib\postgresql.jar;C:\Program Files\ArcGIS\framework\lib\commons-compress.jar;C:\Program Files\ArcGIS\DataStore\framework\lib\arcgis-data-store.jar" com.esri.arcgis.datastore.util.DbCli put-transaction-log "C:/Program Files/ArcGIS/Data/arcgisdatastore/
Zielbeschreibung: cmd.exe /c .\bin\pg_isready -h localhost -p 9876 -d [databasename] -U [user]
Beschreibung: Zugriff von machine.domain.com\userName ran C:\Program Files\ArcGIS\DataStore\framework\runtime\jre\bin\java.exe auf den Prozess cmd.exe, was die Verletzung der Regel "JNDI Log4J Exploit" zur Folge hatte Der Zugriff wurde zugelassen, da die Regel nicht zur Blockierung konfiguriert war.
Ursache
Als Reaktion auf Sicherheitslücken, die Ende 2021 im Zusammenhang mit Log4J auftraten, aktualisierte McAfee seine Produktabdeckung und nahm eine neue Expertenregel mit dem Namen "JNDI Log4J Exploit" auf.
Der Lösungsansatz von McAfee ist hier dokumentiert: Log4J und der Speicher, der zu viel wusste
Diese Regel wird ausgelöst, wenn McAfee Endpoint Security potenziell bösartige Aktivitäten entdeckt, die ein ähnliches Verhalten zeigen wie die Ausnutzung der Log4J-Sicherheitslücke CVE-2021-44228.
Weitere Informationen finden Sie unter
McAfee Enterprise-Abdeckung für Apache Log4j CVE-2021-44228-Remotecodeausführung
Administratoren und Benutzer werden diese Warnungen möglicherweise auch bei Verwendung von Log4J-Patches von Esri angezeigt.
Lösung oder Problemumgehung
Das gemeldete Verhalten ist zu erwarten, und die Warnung dient nur zur Information.
Portal for ArcGIS und ArcGIS Data Store rufen PG_ISREADY und whoami unter Windows auf, indem sie den Windows-Befehlsinterpreter (CMD.exe) über einen Java-Prozess öffnen. Sowohl PG_ISREADY als auch whoami sind Befehlszeilenwerkzeuge.
- Die JRE öffnet den Windows-CMD-Interpreter, um den whoami-Befehl auszuführen und sicherzustellen, dass der Besitzer des ArcGIS-Prozesses die Indizes des Portals lesen/schreiben kann.
- Das Portal prüft, ob der Besitzer des Prozesses Zugriff auf seine Verzeichnisse hat (zum Beispiel: db/temp/content/index).
- Diese Logik wird zur Unterstützung von Hochverfügbarkeitskonfigurationen verwendet.
- PG_ISREADY ist ein von PostgreSQL bereitgestelltes Befehlszeilenwerkzeug, das in Portal for ArcGIS und ArcGIS Data Store verwendet wird.
- PG_ISREADY wird aufgerufen, um in regelmäßigen Abständen den internen Zustand der PostgreSQL-Datenbank zu überprüfen und so sicherzustellen, dass sie ordnungsgemäß ausgeführt wird.
Artikel-ID: 000028041
Holen Sie sich Unterstützung mit KI
Lösen Sie Ihr Problem schnell mit dem Esri Support AI Chatbot.
Zugehörige Informationen
Weitere Informationen zu diesem Thema erkunden
Search for related information
Find training related to this topic
Explore ideas and give feedback
Unterstützung durch ArcGIS-Experten anfordern
Beginnen Sie jetzt mit dem Chatten