Warnung zu Sicherheitslücke in ArcGIS Enterprise

Beschreibung

Esri hat eine kritische Sicherheitslücke in der Portal for ArcGIS-Komponente von ArcGIS Enterprise erkannt, die zu einem Problem durch Server-Side Request Forgery (SSRF) führt. Es gibt einen spezifischen bekannten Exploit-Vektor für Bereitstellungen, die auf Infrastruktur in Amazon Web Services (AWS) ausgeführt werden, obwohl in Abhängigkeit vom jeweiligen Cloud-Anbieter auch Kunden in anderen Cloud-Umgebungen betroffen sein können.Unabhängig davon, wo ArcGIS Enterprise ausgeführt wird, empfiehlt Esri immer, die neuesten Patches für sämtliche ArcGIS Enterprise-Software zu installieren.

Alle Versionen vor ArcGIS Enterprise 10.8 unter Windows und Linux sind von diesem Sicherheitsproblem betroffen. Esri hat Patches für alle aktuellen Versionen von ArcGIS Enterprise (Version 10.5 bis 10.7.1) veröffentlicht. ArcGIS 10.3.x und 10.4.x befinden sich im Support-Status "Mature". Für Produkte in den Support-Phasen "Mature" oder "Retired" stellt Esri keine Patches bereit. Weitere Informationen dazu finden Sie unter Esri Product Lifecycle Policy.

Ursache

Dieser Patch wurde zur Behebung des bekannten Fehlers BUG-000128058 veröffentlicht.

Lösung oder Problemumgehung

Um diese Sicherheitslücke zu schließen, empfiehlt Esri allen Kunden, die ArcGIS Enterprise ausführen, schnellstmöglich den Portal for ArcGIS Security 2020 Update 1 Patch zu installieren. Der Patch ist für ArcGIS Enterprise Versionen 10.5 bis 10.7.1 verfügbar und kann von der Esri Support-Website heruntergeladen werden.Dieser Patch enthält eine Korrektur für dieses Problem sowie weitere empfohlene Korrekturen für Sicherheitsprobleme. In ArcGIS Enterprise 10.8 sind die Fixes bereits enthalten, sodass kein Patch erforderlich ist.

Bei Fragen zu diesem Patch und zum Schließen der Sicherheitslücke wenden Sie sich an den technischen Support von Esri.