Patches and updates

Parche Actualización 1 de seguridad 2021 para ArcGIS Server

Published: March 12, 2021

Resumen

Este parche de seguridad soluciona diversas vulnerabilidades de seguridad encontradas en ArcGIS Server. Esri recomienda aplicar este parche a todos los clientes que utilicen ArcGIS Server 10.8.1, 10.7.1 y 10.6.1.

Descripción

Esri® anuncia el Parche 1 de actualización de seguridad 2021 para ArcGIS Server. Esri recomienda aplicar este parche a todos los clientes que utilicen ArcGIS Server 10.8.1, 10.7.1 y 10.6.1. Concretamente, este parche soluciona el problema enumerado a continuación en Problemas corregidos con este parche. Nota: Este parche de seguridad es acumulativo e incluye varias correcciones relacionadas y no relacionadas con la seguridad de parches anteriores que también se enumeran más abajo en Problemas solucionados con este parche.


Problemas solucionados con este parche


  • Parche Actualización 1 de seguridad 2021 para ArcGIS Server
  • BUG-000137658: vulnerabilidad de SSRF en ArcGIS Server Manager
  • BUG-000137662: XSS reflejada en ArcGIS Server
  • BUG-000137663: vulnerabilidad de XSS almacenada en ArcGIS Server
  • BUG-000137668 - Vulnerabilidad de XSS almacenada en el Directorio de servicios de ArcGIS Server
  • BUG-000131992: vulnerabilidad de creación de scripts entre sitios reflejada (XSS) en ArcGIS Server
  • BUG-000137659: creación de scripts entre sitios (XSS) en ArcGIS Server Manager (10.6.1 solamente)
Para evitar conflictos en la versión 10.8.1, este parche también aborda lo siguiente:
  • BUG-000135563 - Si el nombre de campo se nombra con cadenas de varios bytes, el uso de la cláusula WHERE como operación de consulta con el campo falla.
  • BUG-000134113 - Actualizar iteminfo del servicio solo si los campos de Descripción del elemento se editan intencionadamente en Server Manager.
  • BUG-000133232: agregar compatibilidad en ArcGIS Server para garantizar que los miembros del portal de ArcGIS Enterprise con roles personalizados puedan eliminar sus propios servicios cuando el rol incluya privilegios administrativos como "Ver todos los miembros" y privilegios de publicador.
  • BUG-000127160 - Error al habilitar el rastreo de ubicación cuando el almacén de configuración se encuentra en el almacenamiento en la nube.
Para evitar problemas en la versión 10.7.1, este parche también aborda lo siguiente:
  • BUG-000132311: no se puede ver la información del espacio de trabajo de servicio en Server Manager cuando el almacén de configuración del sitio está almacenado en S3/DynamoDB en AWS
  • BUG-000130002: Las solicitudes 'GetFolders', 'GetDescriptions' y 'GetDescriptionsEx' fallan en las implementaciones de ArcGIS Server 10.7.1 en Amazon Web Services.
  • BUG-000128892: El almacenamiento en caché con 64 o más instancias en un solo equipo puede fallar a pesar de que los recursos del sistema sean suficientes.
  • BUG-000128060 - ArcGIS Server contiene una vulnerabilidad de seguridad de falsificación de solicitud de servidor (SSRF).
  • BUG-000127160 - Error al habilitar el rastreo de ubicación cuando el almacén de configuración se encuentra en el almacenamiento en la nube.
  • BUG-000127113 - No se puede conectar a almacén de identidades mediante Asp.net con ArcGIS Server 10.7. o posterior después de reiniciar el servicio de Windows de ArcGIS Server.
  • BUG-000125331 - CreateReplica con registerExistingData debe tener en cuenta las URL de servicio con nombres de equipo diferentes para FS alojado
  • BUG-000125214: Optimize la eliminación de servicios para evitar tiempos de espera en implementaciones que incluyan un gran número de servicios.
  • BUG-000125044 - El servicio de entidades alojado tiene una vulnerabilidad de creación de scripts entre sitios (XSS) almacenada.
  • BUG-000124991 - ArcGIS Server no importa completamente certificados raíz o intermedios.
  • BUG-000124867 - Cuando se intenta descargar un área del mapa gestionada en Collector for ArcGIS, la descarga falla debido a un error que ocurre entre ArcGIS Server y el acceso a la réplica de ArcGIS Web Adaptor.
  • BUG-000124827 - En un sitio con varios equipos de ArcGIS Server que tiene uno o más servicios de mapas almacenados en caché que han sido consumidos a través de ArcMap o un cliente de SOAP, la publicación de un servicio o la detención/inicio de un servicio provoca que todos los servicios de los equipos se reinicien.
  • BUG-000124576 - El inicio de un servicio de mapas con una extensión de objeto de servidor (SOE) de Java SOAP habilitada falla con el error "javax/xml/bind/JAXBException".
  • BUG-000124287 - La publicación falla porque el registro de la base de datos corporativa falla, aunque parece funcionar en la UI. Esto podría ocurrir en una configuración de equipo que contiene varias tarjetas de red.
  • BUG-000123103 - ArcGIS Server gestiona incorrectamente un origen de CORS incorrecto.
  • BUG-000122285 - La escalabilidad del servicio de escenas 3D se obstaculiza por lecturas/escrituras frecuentes en el almacén de configuración y los directorios.
  • BUG-000120535 - En el gráfico de serie de Operations Dashboard for ArcGIS en Portal for ArcGIS, la ordenación de datos por estadísticas en la configuración de opciones de datos devuelve el mensaje de advertencia, "No se puede acceder a los datos".
Para evitar problemas en la versión 10.6.1, este parche soluciona también:
  • BUG-000137702 - Aborda un bloqueo en ArcGIS al trabajar con archivos PMF
  • BUG-000134965: existe una vulnerabilidad de inyección SQL en ArcGIS Server
  • BUG-000132034 - En Portal for ArcGIS, si el nombre del archivo adjunto está en japonés, un archivo adjunto no se puede abrir, pero se puede descargar.
  • BUG-000131010 - El comando Buscar del extremo REST de ArcGIS Desktop y ArcGIS Server tarda exponencialmente más tiempo en ejecutarse en la versión 10.6.1 que en la 10.6.0.
  • BUG-000130724 - El método Evaluación condicional del componente RasterConditionalOp de Spatial Analyst falla inesperadamente cuando se invoca en una sintaxis anterior a 10.
  • BUG-000128883 - La herramienta de geoprocesamiento Registrar con geodatabase se carga y funciona con lentitud en ArcMap al registrar vistas o tablas espaciales grandes con una geodatabase corporativa.
  • BUG-000128381 - La sincronización de réplica unidireccional falla con el error: "Error al sincronizar la réplica [<schema>.<featureclass>] Tabla no registrada [PEA.GDB_TEMP_USER_IDS]".
  • BUG-000128060 - ArcGIS Server contiene una vulnerabilidad de seguridad de falsificación de solicitud de servidor (SSRF).
  • BUG-000126701 - Los servicios alojados no se restauran si su vista asociada aparece en una lista alfabética después del servicio alojado.
  • BUG-000126173 - GeoAnalytics Server no admite conexiones a Hadoop con autenticación Kerberos cuando la propiedad hadoop.rpc.protection de Hadoop está definida como "privacidad" o "integridad".
  • BUG-000125044 - El servicio de entidades alojado tiene una vulnerabilidad de creación de scripts entre sitios (XSS) almacenada.
  • BUG-000124827 - En un sitio con varios equipos de ArcGIS Server que tiene uno o más servicios de mapas almacenados en caché que han sido consumidos a través de ArcMap o un cliente de SOAP, la publicación de un servicio o la detención/inicio de un servicio provoca que todos los servicios de los equipos se reinicien.
  • BUG-000124386 - Corregir el orden de las operaciones durante importSite.
  • BUG-000124326 - El cambio de nombre de una clase de entidad SDO_Geometry falla en Oracle 19c.
  • BUG-000124325 - Crear tipo espacial falla en Oracle 19c.
  • BUG-000124079 - Ejecutar ajuste de bloques en la colección de imágenes una segunda vez puede generar un fallo con el valor de elevación ausente.
  • BUG-000123103 - ArcGIS Server gestiona incorrectamente un origen de CORS incorrecto.
  • BUG-000122408 - No se conserva ningún certificado personalizado para el servidor del servidor web al restaurar una copia de seguridad webgisdr.
  • BUG-000122285 - Los servicios de escenas 3D de ArcGIS Enterprise proporcionan un rendimiento deficiente y no se ajustan bien entre múltiples nodos SIG.
  • BUG-000121595 - Problema ocasional/intermitente de creación del sitio y de crear servicio//eliminar servicio con Server.
  • BUG-000120805 - Existe un problema de control de accesos en ArcGIS Server.
  • BUG-000120195 - Error de restauración de servicio alojados que contienen vistas asociadas.
  • BUG-000119801 - La herramienta Muestra falla cuando se introduce más de un dataset de mosaico como rásteres de entrada.
  • BUG-000119759 - Mejorar la calidad y el rendimiento de la herramienta Muestra.
  • BUG-000119534 - Asignación de ruta produce resultados incorrectos cuando se especifican las características del origen.
  • BUG-000119493 - La herramienta Sumidero crea dos valores únicos para regiones de sumidero conectadas diagonalmente. Esto es incorrecto, ya que los sumideros conectados diagonalmente deberían identificarse con un solo valor único.
  • BUG-000119425 - Las tareas SummarizeRasterWithin y ConvertRasterToFeature de ArcGIS Image Server fallan al intentar leer directamente un servicio de imágenes de entrada colocado en un almacén de rásteres en la nube.
  • BUG-000119424 - Las herramientas Geometría zonal como tabla y Geometría zonal generan resultados incorrectos cuando se utiliza un campo que no sea un valor. En este caso, la lógica para calcular las propiedades de geometría zonal no es correcta y el software puede fallar.
  • BUG-000119423 - La herramienta Cuenca hidrográfica se bloquea cuando la extensión de procesamiento se define como una cuenca de una sola celda.
  • BUG-000119422 - La herramienta Distancia de flujo de ModelBuilder no muestra el parámetro "FlowDistanceType".
  • BUG-000119421 - La herramienta Distancia de flujo produce NoData en la mayoría de celdas cuando el ráster de superficie de entrada no está acondicionado hidrológicamente.
  • BUG-000119419 - Cuando Dirección euclidiana utiliza datos de alta resolución, produce una salida incorrecta.
  • BUG-000119323 - RasterToPolygon con "Crear entidades multiparte" habilitado bloquea la salida para la edición.
  • BUG-000119030 - Consultar o seleccionar más de ocho veces desde una geodatabase de archivos comprimida es más lento en ArcGIS Desktop 10.6.1 que en ArcGIS Desktop 10.5.1.
  • BUG-000118421 - Si hay caracteres no ingleses en una cadena de conexión, la herramienta Copiar ráster devolverá este error al importar un ráster en una geodatabase corporativa: "ERROR 999999: Error al ejecutar la función. No hay configurado ningún almacén de rásteres. No se ejecuta en un proceso de servidor. Error al ejecutar (CopyRaster)".
  • BUG-000118138: Los campos dobles de ArcGIS con precisión = 10 y escala = 0 en una geodatabase de Oracle se modifican automáticamente a Entero largo después de previsualizar en clientes de ArcGIS 10.6.1/ArcGIS Pro 2.2 o posterior. Se devuelve un error, "[ORA-01455: convertir columnas desborda un tipo de datos enteros]" si los campos contienen números mayores que el máximo para un entero largo (2.147.483.647).
  • BUG-000117983 - Problema de control de accesos en el controlador de teselas de ArcGIS Server.
  • BUG-000117954 - El servicio de escenas debe ignorar errores de certificado mientras consume caché de escena en el Scene Viewer.
  • BUG-000117633 - En 10.6.1 y anteriores, el servicio de plataforma de bus de mensajes podía no inicializarse correctamente en todos los entornos.
  • BUG-000117372 - Creación de scripts entre sitios (XSS) en la API del administrador de Server.
  • BUG-000116972 - Collector for ArcGIS (iOS) no envía adjuntos de fotos a capas de entidades alojadas en ArcGIS Enterprise 10.6.1.
  • BUG-000116589 - Ruta de coste y Ruta de coste como polilínea con entrada de dirección de flujo para ráster de vínculo son lentas.
  • BUG-000116047 - Ruta de coste produce una salida incorrecta cuando se utiliza el ráster de dirección de flujo como entrada para el ráster de vínculo y distancia.
  • BUG-000115799 - Las capas de teselas vectoriales alojadas en ArcGIS Enterprise 10.6.1 no aplican correctamente un exceso de zoom cuando se visualizan en el Visor de mapas.
  • BUG-000115304 - En sitios de varios equipos de ArcGIS Server, la operación ImportSite modifica las opciones de propiedad del equipo servidor correspondientes a HTTPS en equipos distintos del que ejecuta Importsite.
  • BUG-000115147 - Al llamar a ITopologicalOperator::Buffer en un polígono, la llamada de la zona de influencia falla si el polígono se degeneraba a un punto.
  • BUG-000113368 - Las herramientas Asignación euclidiana, Distancia euclidiana y Dirección euclidiana son mucho más lentas en la versión actual que en la versión anterior de ArcMap.
  • BUG-000113339 - La operación de exportación del sitio de ArcGIS Server 10.6 (o 10.7.1) devuelve el mensaje de error "Error en la operación de exportación. nulo" en Amazon Web Services (AWS) en Microsoft Windows y Linux (o Azure).
  • BUG-000111075 - Un servicio de entidades consumido en un servicio de GeoEvent no restablece la comunicación con la base de datos cuando se recupera la conexión de base de datos tras un fallo de comunicación.
  • BUG-000111075 - No se realiza el reciclaje del servicio para el servidor de entidades después de un fallo de conexión de DB.
  • BUG-000098315 - La herramienta Muestra devuelve datos nulos cuando el ráster de entrada es Mosaico.
  • BUG-000096996 - ExtractMultiValuestoPoints y ExtractValuestoPoints devuelven un error cuando la entidad de puntos de entrada es una capa de eventos XY.
  • BUG-000089296 - Los adjuntos del servicio de entidades de ArcGIS GIS Server se descargan en los navegadores web Mozilla Firefox y Google Chrome, en lugar de abrirse en una nueva pestaña o ventana del navegador.

Instalar este parche en Windows


Pasos para la instalación:


Este parche debe instalarse en todas las instalaciones de ArcGIS Server relacionadas con el sitio de ArcGIS Server.

El producto ArcGIS que aparece en la tabla debe estar instalado en su sistema para poder instalar un parche. Cada configuración de parche es específica del producto ArcGIS de la lista. Para determinar qué productos están instalados en su sistema, consulte la sección Cómo identificar qué productos de ArcGIS están instalados. Esri recomienda que instale el parche para cada producto que esté instalado en su sistema.

  1. Descargue los archivos adecuados en una ubicación que no sea la de instalación de ArcGIS.

  2. ArcGIS 10.8.1  
       
         ArcGIS Server ArcGIS-1081-S-SEC2021U1-Patch.msp
         Suma de comprobación
         (SHA256)
    28C7FD917825B7412BF6B0B5FEE2A31CC2F7917DEFD8195FDFCC3C31C324C338
       
    ArcGIS 10.7.1  
       
         ArcGIS Server ArcGIS-1071-S-SEC2021U1-Patch.msp
         Suma de comprobación
         (SHA256)
    E73E3D3B2A4DE87D8EB127A552EEEDD61C6F7500E748837B271653B97ECF459C
       
    ArcGIS 10.6.1  
       
         ArcGIS Server ArcGIS-1061-S-SEC2021U1-Patch.msp
         Suma de comprobación
         (SHA256)
    B4A6E8476D9B26ADD7709369EE96B7112D08D261EBF153F017C01CBC1E57C908
       

  3. Asegúrese de que tiene acceso de escritura a la ubicación de instalación de ArcGIS.

  4. Haga doble clic en ArcGIS-1081-S-SEC2021U1-Patch.msp para iniciar el proceso de instalación.

    NOTA: Si haciendo doble clic en el archivo MSP no se inicia la instalación, puede iniciarla manualmente utilizando el siguiente comando:

    msiexec.exe /p [location of Patch]\ArcGIS-1081-S-SEC2021U1-Patch.msp


Instalar este parche en Linux


Pasos para la instalación:


Complete los siguientes pasos de instalación como propietario de instalación de ArcGIS. El propietario de instalación es el propietario de la carpeta arcgis. Este parche debe instalarse en todas las instalaciones de ArcGIS Server relacionadas con el sitio de ArcGIS Server.

El producto ArcGIS que aparece en la tabla debe estar instalado en su sistema para poder instalar un parche. Cada configuración de parche es específica del producto ArcGIS de la lista. Para determinar qué productos están instalados en su sistema, consulte la sección Cómo identificar qué productos de ArcGIS están instalados. Esri recomienda que instale el parche para cada producto que esté instalado en su sistema.

  1. Descargue los archivos adecuados en una ubicación que no sea la de instalación de ArcGIS.


    ArcGIS 10.8.1  
       
         ArcGIS Server ArcGIS-1081-S-SEC2021U1-Patch-linux.tar
         Suma de comprobación
         (SHA256)
    11CD57E10608E9C3F52389109326292D439E1782D017657BA294324CEB8C660F
       
    ArcGIS 10.7.1  
       
         ArcGIS Server ArcGIS-1071-S-SEC2021U1-Patch-linux.tar
         Suma de comprobación
         (SHA256)
    304DB4DFE09F7382AA5EAECF56E55779EFD6135BBFDAD3AF7212F7F318D070C0
       
    ArcGIS 10.6.1  
       
         ArcGIS Server ArcGIS-1061-S-SEC2021U1-Patch-linux.tar
         Suma de comprobación
         (SHA256)
    37415F055AF789C47323847309020BC22CCA1BA5DBA5B9830CE6A9E6B43F1DDC
       

  2. Asegúrese de que tiene acceso de escritura a la ubicación de instalación de ArcGIS y de que nadie está usando ArcGIS.

  3. Extraiga el archivo tar específico escribiendo:

    % tar -xvf ArcGIS-1081-S-SEC2021U1-Patch-linux.tar

  4. Inicie la instalación escribiendo:

    % ./applypatch

    Esto iniciará el cuadro de diálogo para el procedimiento de instalación basado en menús. Las selecciones predeterminadas se anotan entre paréntesis ( ). Para salir del proceso de instalación, escriba 'q' en cualquier momento.

Desinstalar este parche en Windows


Para desinstalar este parche en Windows, abra el panel de control de Windows y vaya a los programas instalados. Asegúrese de que "Ver actualizaciones instaladas" (en la parte superior izquierda del cuadro de diálogo Programas y características) esté activado. Seleccione el nombre del parche en la lista de programas y haga clic en Desinstalar para eliminar el parche.

Desinstalar este parche en Linux


Para eliminar este parche en las versiones 10.7 y posteriores, vaya al directorio <Product Installation Directory>/.Setup/qfe y ejecute el siguiente script como propietario de la instalación de ArcGIS:



./removepatch.sh

El script removepatch.sh le permite desinstalar parches o correcciones urgentes instalados anteriormente. Utilice el marcador de estado -s para obtener la lista de parches o correcciones urgentes instalados, ordenados por fecha. Utilice el marcador -q para eliminar parches o correcciones urgentes en orden cronológico inverso por su fecha de instalación. Escriba removepatch -h para obtener detalles de uso.

Reinicie sus servicios de ArcGIS.



Actualizaciones de parches

Compruebe la página Parches y Service Packs periódicamente para ver si hay parches adicionales disponibles. La información más reciente sobre este parche se publicará aquí.

Cómo identificar qué productos de ArcGIS están instalados

Para determinar qué productos de ArcGIS están instalados, elija la versión apropiada de la utilidad PatchFinder para su entorno y ejecútela en su equipo local. PatchFinder enumerará todos los productos, correcciones urgentes y parches instalados en su equipo local.

Obtener ayuda

Para los sitios nacionales, póngase en contacto con Soporte técnico de Esri al 1-888-377-4575, si tiene alguna dificultad en instalar este parche. Para los sitios internacionales, póngase en contacto con su distribuidor de software Esri local.



Download ID:7879

Get help from ArcGIS experts

Contact technical support

Download the Esri Support App

Go to download options