Patches and updates

ArcGIS Server Security 2021 Update 2 Patch

Published: August 30, 2021

Zusammenfassung

Mit diesem Sicherheits-Patch werden mehrere Sicherheitslücken in ArcGIS Server geschlossen. Esri empfiehlt allen Kunden, die ArcGIS Server 10,9, 10.8.1, 10.7.1 und 10.6.1 verwenden, diesen Patch zu installieren.

Beschreibung

Esri® kündigt den ArcGIS Server Security 2021 Update 2 Patch an. Esri empfiehlt allen Kunden, die ArcGIS Server 10,9, 10.8.1, 10.7.1 und 10.6.1 verwenden, diesen Patch zu installieren. Durch den Patch werden die Probleme behoben, die unter Mit diesem Patch behobene Probleme beschrieben sind.


Mit diesem Patch behobene Probleme


  • ArcGIS Server Security 2021 Update 2 Patch
  • BUG-000113339 - The ArcGIS Server versions 10.6 or 10.7.1 export site operation returns the error message, "Export operation failed. null" within Amazon Web Services (AWS) on Microsoft Windows and Linux (or Azure). (Nur 10.7.1)
  • BUG-000139857 - Remote file inclusion vulnerability in the ArcGIS Server help documentation
  • BUG-000142180 - Stored XSS vulnerability in ArcGIS Server (10.8.1 and 10.9 only)
  • BUG-000142120 - SQL injection vulnerability in ArcGIS Server
  • BUG-000142204 - Setting a field invisible in a hosted feature service view requires hiding the field references from the templates.
Um Konflikte in 10.9 zu vermeiden, enthält dieser Patch auch folgende Problembehebungen:
  • BUG-000141023 - Remove restrictions on interval parameters when used in enterprise hosted feature service layer queries.
  • BUG-000141022 - Hosted feature services in Enterprise need to return uncompressed responses when requested.

Um Konflikte in 10.8.1 zu vermeiden, enthält dieser Patch auch folgende Problembehebungen:
  • BUG-000138234 - The WebGIS DR backup fails when attempting to create a service.
  • BUG-000137668 - Stored XSS vulnerability in ArcGIS Server Services Directory
  • BUG-000137663 - Stored XSS vulnerability in ArcGIS Server
  • BUG-000137662 - Reflected XSS in ArcGIS Server
  • BUG-000137658 - SSRF vulnerability in ArcGIS Server Manager.
  • BUG-000135919 - When the ArcGIS Server site import fails when using the DR tool, the site is not returned to a functional state.
  • BUG-000135918 - Importing an ArcGIS Server site using the DR tool may fail sporadically.
  • BUG-000135563: If the field name is named with multibyte strings, using the WHERE clause as the query operation with the field fails.
  • BUG-000134113: Only update service iteminfo when the Item Description fields are purposefully edited within Server Manager.
  • BUG-000133232 - Add support in ArcGIS Server to ensure ArcGIS Enterprise portal members with custom roles are able to delete their own services when the role includes administrative privileges such as 'View all members' and publisher privileges.
  • BUG-000132999 - In a multi-machine ArcGIS Server site, the restore process may not successfully unregister, and re-register the additional nodes.
  • BUG-000131992 - Reflected cross-site scripting (XSS) vulnerability in ArcGIS Server.
  • BUG-000127160: Error enabling Location Tracking when the configuration store is in the cloud storage.

Um Konflikte in 10.7.1 zu vermeiden, enthält dieser Patch auch folgende Problembehebungen:
  • BUG-000137668 - Stored XSS vulnerability in ArcGIS Server Services Directory
  • BUG-000137663 - Stored XSS vulnerability in ArcGIS Server
  • BUG-000137662 - Reflected XSS in ArcGIS Server
  • BUG-000137658 - SSRF vulnerability in ArcGIS Server Manager.
  • BUG-000132311 - Unable to view service workspace information in Server Manager when the site's config-store is stored in S3/DynamoDB in AWS
  • BUG-000131992 - Reflected cross-site scripting (XSS) vulnerability in ArcGIS Server.
  • BUG-000130002: 'GetFolders', 'GetDescriptions', and 'GetDescriptionsEx' requests fail in ArcGIS Server 10.7.1 deployments on Amazon Web Services.
  • BUG-000128892: Caching with 64 or more instances on a single machine may fail despite sufficient system resources.
  • BUG-000128060: ArcGIS Server has a Server Side Request Forgery (SSRF) security vulnerability.
  • BUG-000127160: Error enabling Location Tracking when the configuration store is in the cloud storage.
  • BUG-000127113: Unable to connect to identity store using Asp.net using ArcGIS Server 10.7. or later after restarting the ArcGIS Server Windows service.
  • BUG-000125331: CreateReplica with registerExistingData needs to account for service URLs with different machine names for hosted FS
  • BUG-000125214: Optimize the deletion of services to avoid time-outs on deployments that include a large number of services.
  • BUG-000125044: Hosted feature service has a stored cross-site scripting (XSS) vulnerability.
  • BUG-000124991: ArcGIS Server fails to fully import root or intermediate certificates.
  • BUG-000124867: When attempting to download a managed map area in Collector for ArcGIS, the download fails due to an error that occurs between ArcGIS Server and the ArcGIS Web Adaptor replica access.
  • BUG-000124827: On a multiple-machine ArcGIS Server site that has one or more cached map services that have been consumed through ArcMap or a SOAP client, publishing a service or stopping/starting a service causes all services on the machines to restart.
  • BUG-000124576: Starting a map service with a Java SOAP server object extension (SOE) enabled fails with the error "javax/xml/bind/JAXBException".
  • BUG-000124287: Publishing fails because enterprise database registration fails, even though it appears to work on the UI. This could happen on a machine configuration that has multiple Network cards.
  • BUG-000123103: ArcGIS Server improperly handles an incorrect CORS origin.
  • BUG-000122285: Scalability of 3D Scene Service is impeded by frequent reads/writes to the config store and directories.
  • BUG-000120535: In the Operations Dashboard for ArcGIS serial chart in Portal for ArcGIS, sorting data by statistics in the Data Options configuration returns the warning message, "Cannot Access Data."

Um Konflikte in 10.6.1 zu vermeiden, enthält dieser Patch auch folgende Problembehebungen:
  • BUG-000137702: Addresses a crash in ArcGIS when working with PMF files
  • BUG-000137668 - Stored XSS vulnerability in ArcGIS Server Services Directory.
  • BUG-000137663 - Stored XSS vulnerability in ArcGIS Server.
  • BUG-000137662 - Reflected XSS in ArcGIS Server.
  • BUG-000137659 - Cross-site scripting (XSS) in ArcGIS Server Manager.
  • BUG-000137658 - SSRF vulnerability in ArcGIS Server Manager.
  • BUG-000134965: There is a SQL injection vulnerability in ArcGIS Server.
  • BUG-000132034: In Portal for ArcGIS, when the name of the attachment file is Japanese, an attached file is unable to open but can be downloaded.
  • BUG-000131992 - Reflected cross-site scripting (XSS) vulnerability in ArcGIS Server.
  • BUG-000131010: The Find command in ArcGIS Desktop and ArcGIS Servers REST endpoint takes exponentially longer to execute from 10.6.0 to 10.6.1.
  • BUG-000130724: The Con method of the Spatial Analyst component RasterConditionalOp fails with error unexpectedly when called in a pre-10 syntax.
  • BUG-000128883: The Register with Geodatabase geoprocessing tool loads and operates slowly in ArcMap when registering large spatial tables or views with an enterprise geodatabase.
  • BUG-000128381 - One-way replica synchronization fails with error: 'Synchronize Replica Failed [verwendet werden kann.] Table not registered [PEA.GDB_TEMP_USER_IDS]'.
  • BUG-000128060: ArcGIS Server has a Server Side Request Forgery (SSRF) security vulnerability.
  • BUG-000126701: Hosted services fail to restore if their associated view is alphabetically listed after the hosted service.
  • BUG-000126173: GeoAnalytics Server doesn't support connections to Hadoop with Kerberos authentication when Hadoop's hadoop.rpc.protection property is set to "privacy" or "integrity".
  • BUG-000125044: Hosted feature service has a stored cross-site scripting (XSS) vulnerability.
  • BUG-000124827: On a multiple-machine ArcGIS Server site that has one or more cached map services that have been consumed through ArcMap or a SOAP client, publishing a service or stopping/starting a service causes all services on the machines to restart.
  • BUG-000124386: Correct the order of operations during importSite.
  • BUG-000124326: Renaming an SDO_Geometry feature class fails on Oracle 19c.
  • BUG-000124325: Create Spatial Type fails on Oracle 19c.
  • BUG-000124079: Running block adjustment on imagery collection the second time may fail with missing default elevation value.
  • BUG-000123103: ArcGIS Server improperly handles an incorrect CORS origin.
  • BUG-000122408: A custom certificate for the server of the web server is not maintained when restoring a webgisdr backup.
  • BUG-000122285: ArcGIS Enterprise 3D scene services deliver poor throughput and do not scale well across multiple GIS nodes.
  • BUG-000121595: Occasional/Intermittent site creation and create service/Delete service issue with Server.
  • BUG-000120805: ArcGIS Server has an access control issue.
  • BUG-000120195: Failed to restore hosted services containing associated views.
  • BUG-000119801: Sample fails when more than one mosaic datasets are input as input rasters.
  • BUG-000119759: Improve the quality and performance of the Sample tool.
  • BUG-000119534: Path Allocation produces incorrect results when the source characteristics are specified.
  • BUG-000119493: Sink tool creates two unique values for sink regions that are diagonally connected. This is incorrect as diagonally connected sinks should be identified with a single unique value.
  • BUG-000119425: The SummarizeRasterWithin and ConvertRasterToFeature tasks in ArcGIS Image Server crashes when trying to directly read an input image service collocated on a cloud raster store.
  • BUG-000119424: Zonal Geometry as Table and Zonal Geometry tools generate incorrect results when a field other than value was used. In this case, the logic for calculating zonal geometry properties is not correct, and the software may crash.
  • BUG-000119423: Watershed tool hangs when processing extent is set to a single cell catchment.
  • BUG-000119422: Flow distance tool in modelbuilder does not display 'FlowDistanceType' parameter.
  • BUG-000119421: Flow Distance tool produces NoData for majority of cells when input surface raster is not hydro conditioned.
  • BUG-000119419: Euclidean Direction using high resolution data produces incorrect output.
  • BUG-000119323: RasterToPolygon with "Create multipart features" enabled, locks the output for editing.
  • BUG-000119030: Querying or selecting from a compressed file geodatabase over eight times in ArcGIS Desktop 10.6.1 is slower than in ArcGIS Desktop 10.5.1.
  • BUG-000118421: If there are non-English characters in a connection string, the Copy Raster tool will return this error when importing a raster in an enterprise geodatabase, "ERROR 999999: Error executing function. No raster store is configured. Not running inside a server process. Failed to execute (CopyRaster).''
  • BUG-000118138: ArcGIS Double fields with precision = 10 and scale = 0 in an Oracle geodatabase are altered automatically to Long Integer after previewing in ArcGIS 10.6.1/ArcGIS Pro 2.2 or later clients. An error is returned, "[ORA-01455: converting columns overflows integer datatype]" if the fields contain numbers larger than the maximum for a Long Integer (2,147,483,647).
  • BUG-000117983: Access control issue in the ArcGIS Server tile handler.
  • BUG-000117954: Scene service should ignore certificate errors while consuming scene caches in scene viewer.
  • BUG-000117633: In 10.6.1 and prior, the message bus platform service may not be initialized correctly in all environments.
  • BUG-000117372: Cross-site scripting (XSS) in Server Admin api.
  • BUG-000116972: Collector for ArcGIS (iOS) fails to submit photo attachments to hosted feature layers in ArcGIS Enterprise 10.6.1.
  • BUG-000116589: Cost Path and Cost Path as Polyline with flow direction input for backlink raster is slow.
  • BUG-000116047: Cost Path produces incorrect output when Flow Direction raster is used as input for distance and backlink raster.
  • BUG-000115799: Vector Tile Layers hosted in ArcGIS Enterprise 10.6.1 do not overzoom successfully when viewed in the Map Viewer.
  • BUG-000115304: In multiple ArcGIS Server machine sites, the ImportSite operation modifies the server machine property options pertaining to HTTPS on machines other than the one running the Importsite.
  • BUG-000115147: When calling ITopologicalOperator::Buffer on a polygon, if the polygon is degenerated to a point, the buffer call crashes.
  • BUG-000113368: Euclidean allocation, distance and direction tools are much slower in current version verses previous version of ArcMap.
  • BUG-000113339: The ArcGIS Server 10.6 (or 10.7.1) export site operation returns the error message, "Export operation failed. null" within Amazon Web Services (AWS) on Microsoft Windows and Linux (or Azure).
  • BUG-000111075: A feature service consumed in a GeoEvent Service fails to re-establish communication with the database once the database connection comes back after a communication failure.
  • BUG-000111075: Service recycling after a DB connection failure does not happen for Feature Server.
  • BUG-000098315: Sample return Null data, when input raster is Mosaic.
  • BUG-000096996: ExtractMultiValuestoPoints, ExtractValuestoPoints returns error when the input points feature is a XY Event Layer.
  • BUG-000089296: Feature service attachments in ArcGIS GIS Server are downloaded in Mozilla Firefox and Google Chrome web browsers, instead of being opened in a new browser tab or window.

Installieren dieses Patch unter Windows


Installationsschritte:


Das in der Tabelle aufgeführte ArcGIS-Produkt muss auf Ihrem System installiert sein, bevor Sie einen Patch installieren können. Jede Patch-Installation kann nur für das in der Liste aufgeführte ArcGIS-Produkt verwendet werden. Um zu ermitteln, welche Produkte auf Ihrem System installiert sind, lesen Sie den Abschnitt Ermitteln der installierten ArcGIS-Produkte. Esri empfiehlt, für jedes auf Ihrem System installierte Produkt den entsprechenden Patch zu installieren.

  1. Laden Sie die entsprechende Datei an einen anderen Speicherort als den ArcGIS-Installationsspeicherort herunter.

  2. ArcGIS 10.9  
       
    ArcGIS Server ArcGIS-109-S-SEC2021U2-Patch.msp
         Prüfsumme
         (SHA256)
    CE35131B1DD2643A4C1843036572072BE1FA03230C0500B8DF3B42DDCB675AEB
       
    ArcGIS 10.8.1  
       
    ArcGIS Server ArcGIS-1081-S-SEC2021U2-Patch.msp
         Prüfsumme
         (SHA256)
    AED467ADAAA40A615FDB746821589A35BF130B6DF49EC19A8CEF426616188E66
       
    ArcGIS 10.7.1  
       
    ArcGIS Server ArcGIS-1071-S-SEC2021U2-Patch.msp
         Prüfsumme
         (SHA256)
    2A96095DE1525F4C16774A42982C2E2E00DD4AB7C22F58103DAC1849377852BE
       
    ArcGIS 10.6.1  
       
    ArcGIS Server ArcGIS-1061-S-SEC2021U2-Patch.msp
         Prüfsumme
         (SHA256)
    6A175785A18BC4516FCC4A2D41B8CE6BCCA8F1684B04D1AA4202C510A7F17DB7
       

  3. Stellen Sie sicher, dass Sie Schreibzugriff auf das ArcGIS-Installationsverzeichnis besitzen.

  4. Doppelklicken Sie auf "ArcGIS-<Version>-S-SEC2021U2-Patch.msp", um das Setup zu starten.

    HINWEIS: Wird durch Doppelklicken auf die MSP-Datei die Setup-Installation nicht gestartet, können Sie die Setup-Installation mit dem folgenden Befehl manuell starten:


    msiexec.exe /p [Speicherort des Patch]\ArcGIS-<Version>-S-SEC2021U2-Patch.msp


Installieren dieses Patch unter Linux


Installationsschritte:


Führen Sie die folgenden Installationsschritte als Besitzer der ArcGIS-Installation aus. Der Besitzer der Installation ist der Besitzer des ArcGIS-Ordners.

Das in der Tabelle aufgeführte ArcGIS-Produkt muss auf Ihrem System installiert sein, bevor Sie einen Patch installieren können. Jede Patch-Installation kann nur für das in der Liste aufgeführte ArcGIS-Produkt verwendet werden. Um zu ermitteln, welche Produkte auf Ihrem System installiert sind, lesen Sie den Abschnitt Ermitteln der installierten ArcGIS-Produkte. Esri empfiehlt, für jedes auf Ihrem System installierte Produkt den entsprechenden Patch zu installieren.

  1. Laden Sie die entsprechende Datei an einen anderen Speicherort als den ArcGIS-Installationsspeicherort herunter.


    ArcGIS 10.9  
       
    ArcGIS Server ArcGIS-109-S-SEC2021U2-Patch-linux.tar
         Prüfsumme
         (SHA256)
    B5D3E67A207B9D7D232D301DD79A27957B33A85A135CC06754EF6422B6CB5690
       
    ArcGIS 10.8.1  
       
    ArcGIS Server ArcGIS-1081-S-SEC2021U2-Patch-linux.tar
         Prüfsumme
         (SHA256)
    435AED1AF08155F5B083672B2229750F9868B438F4DE9B7E55EA7A756C7A0A8D
       
    ArcGIS 10.7.1  
       
    ArcGIS Server ArcGIS-1071-S-SEC2021U2-Patch-linux.tar
         Prüfsumme
         (SHA256)
    5D79D3B6132D6DA12EC90A14F4B3C9B7EB477BE0366ABB1E6ABCE1EDB5FECA25
       
    ArcGIS 10.6.1  
       
    ArcGIS Server ArcGIS-1061-S-SEC2021U2-Patch-linux.tar
         Prüfsumme
         (SHA256)
    EE372C32637AB4ECA07468CBFCCB39C092E1B93E89E28BD6EDB1C6296689160B
       
  2. Stellen Sie sicher, dass Sie Schreibzugriff auf das ArcGIS-Installationsverzeichnis haben und ArcGIS durch keinen anderen Benutzer verwendet wird.

  3. Extrahieren Sie die jeweilige TAR-Datei durch Eingabe des folgenden Befehls:


    % tar -xvf ArcGIS-<Version>-S-SEC2021U2-Patch-linux.tar

  4. Starten Sie die Installation durch die Eingabe des folgenden Befehls:


    % ./applypatch

    Es erscheint ein Dialogfeld für die menügesteuerte Installation. Die Standardauswahloptionen sind in Klammern ( ) angegeben. Die Installation kann jederzeit durch die Eingabe von "q" abgebrochen werden.


Aktualisieren einer Geodatabase

Wenn ein Hotfix oder Patch für ArcGIS angewendet wurde, kann es auch notwendig sein, Ihre Geodatabase zu aktualisieren. Weitere Informationen erhalten Sie im Abschnitt "Aktualisieren der Geodatabase" auf der Seite Geodatabase-Verwaltung zu Ihrer jeweiligen DBMS-Plattform.


Deinstallieren dieses Patch unter Windows


  • Um diesen Patch unter Windows zu deinstallieren, öffnen Sie die Windows-Systemsteuerung und navigieren Sie zu "Programme und Funktionen". Stellen Sie sicher, dass "Installierte Updates anzeigen" (links oben im Dialogfeld "Programme und Funktionen") aktiv ist. Wählen Sie den Patch-Namen in der Liste der Programme aus und klicken Sie auf "Deinstallieren", um den Patch zu entfernen.

Deinstallieren dieses Patch unter Linux


  • Um diesen Patch von Version 10.7 und höher zu entfernen, navigieren Sie zum Verzeichnis "<Produktinstallationsverzeichnis>/.Setup/qfe" und führen das folgende Skript als Besitzer der ArcGIS-Installation aus:


    ./removepatch.sh

    Mit dem Skript removepatch.sh können Sie zuvor installierte Patches oder Hotfixes deinstallieren. Mit dem Status-Flag -s wird eine Liste der installierten Patches oder Hotfixes nach Datum sortiert aufgerufen. Mit dem Status-Flag -q können Sie Patches oder Hotfixes in umgekehrter chronologischer Reihenfolge des Installationsdatums entfernen. Um Hilfe zu erhalten, geben Sie "removepatch -h" ein.

  • Starten Sie Ihre ArcGIS-Services neu.

Aktuelle Informationen zu Patches

Prüfen Sie auf der Seite Patches und Service Packs regelmäßig, ob zusätzliche Patches zur Verfügung stehen. Neue Informationen zu diesem Patch werden hier veröffentlicht.

24. November 2021 Das Windows-Setup für diesen Patch wurde durch neue digitale Signaturen aktualisiert. Mit dieser Änderung wird folgender möglicher Installationsfehler behoben:

Ein erforderliches Zertifikat befindet sich nicht innerhalb seiner Gültigkeitsdauer, wenn es anhand der aktuellen Systemuhr oder des Zeitstempels in der signierten Datei überprüft wird.

Ermitteln der installierten ArcGIS-Produkte

Um zu ermitteln, welche ArcGIS-Produkte auf dem Rechner installiert sind, wählen Sie die entsprechende Version des PatchFinder-Dienstprogramms für Ihre Umgebung, und führen Sie sie auf dem lokalen Computer aus. PatchFinder listet alle installierten Produkte, Hotfixes und Patches auf dem lokalen Computer auf.

Support anfordern

US-Kunden wenden sich bitte an den technischen Support von Esri unter +1 888 377 4575, falls Probleme beim Installieren des Patch auftreten. Kunden außerhalb der USA wenden sich bitte an den jeweiligen Esri Softwaredistributor vor Ort.



Download ID:7937

Get help from ArcGIS experts

Contact technical support

Download the Esri Support App

Go to download options