NIM093227: A reflected non-persistent cross-site scripting vulnerability exists in ArcGIS for Server 10.1 SP1

Beschreibung

Bei einer der URLs, die ArcGIS for Server 10.1 bereitstellt, liegt ein bekanntes, nicht beständiges siteübergreifendes Sicherheitsrisiko vor. ArcGIS for Server 10.2 ist hiervon nicht betroffen.

CVE-Referenz
CVE-2013-5222 Various XSS Vulnerabilities
Vector: AV:N/AC:M/Au:S/C:N/I:P/A:N Base Score 3.5
Diese Sicherheitslücke kann als Standardeintrag in der Liste Common Vulnerabilities and Exposures eingesehen werden

Beiträge anderer Softwarehersteller
Esri bedankt sich bei den folgenden Unterstützern für ihren Beitrag zum Schutz unserer Kunden:

• Roberto Suggi Liverani von NCIA-NCIRC für die Meldung dieser Sicherheitslücke.

Ursache

Ein Angreifer kann diese Sicherheitslücke ausnutzen, um beim Anzeigen einer Esri Seite innerhalb des Browsers unter Verwendung einer zu diesem Zweck erstellten, vom Hacker bereitgestellten URL ein Skript auszuführen.

Problemumgehung

Dieses Problem wurde in ArcGIS 10.2 for Server behoben. Esri empfiehlt, dass die Kunden ein Upgrade auf die aktuellste Version von ArcGIS for Server durchführen.

Für diejenigen Kunden, die kein Upgrade durchführen können, hat Esri einen Sicherheitspatch veröffentlicht, mit dem dieses Problem sowie andere Sicherheitslücken in ArcGIS 10.1 SP1 behoben werden. Diese Kunden sollten den 10.1 SP1-Sicherheitspatch herunterladen und installieren, der hier zur Verfügung steht:

• ArcGIS 10.1 SP1 for Server Security Patch (September 2013)