Patches and updates

Parche 2 de actualización de seguridad 2021 para ArcGIS Server

Published: August 30, 2021

Resumen

Este parche de seguridad soluciona diversas vulnerabilidades de seguridad encontradas en ArcGIS Server. Esri recomienda aplicar este parche a todos los clientes que utilicen ArcGIS Server 10.9, 10.8.1, 10.7.1 y 10.6.1.

Descripción

Esri® anuncia el Parche 2 de actualización de seguridad 2021 para ArcGIS Server. Esri recomienda aplicar este parche a todos los clientes que utilicen ArcGIS Server 10.9, 10.8.1, 10.7.1 y 10.6.1. Concretamente, este parche soluciona el problema enumerado a continuación en Problemas corregidos con este parche.


Problemas solucionados con este parche


  • Parche 2 de actualización de seguridad 2021 para ArcGIS Server
  • BUG-000113339: La operación de exportación del sitio de ArcGIS Server 10.6 o 10.7.1 devuelve el mensaje de error «Error en la operación de exportación. nulo» en Amazon Web Services (AWS) sobre Microsoft Windows y Linux (o Azure). (solo 10.7.1)
  • BUG-000139857: Vulnerabilidad de inclusión de archivos remotos en la documentación de ayuda de ArcGIS Server
  • BUG-000142180: Vulnerabilidad de XSS almacenada en ArcGIS Server (10.8.1 y 10.9 únicamente)
  • BUG-000142120: Vulnerabilidad de inyección SQL en ArcGIS Server
  • BUG-000142204: Configurar un campo como invisible en una vista de servicio de entidades alojadas requiere ocultar las referencias de campo de las plantillas.
Para evitar conflictos en la versión 10.9, este parche también aborda lo siguiente:
  • BUG-000141023: Eliminar las restricciones de los parámetros de intervalo cuando se usan en consultas de capas de servicios de entidades alojadas corporativas.
  • BUG-000141022: Los servicios de entidades alojados de Enterprise deben devolver respuestas sin comprimir cuando se solicite.

Para evitar conflictos en la versión 10.8.1, este parche también aborda lo siguiente:
  • BUG-000138234 - La copia de seguridad de WebGIS DR falla al intentar crear un servicio.
  • BUG-000137668 - Vulnerabilidad de XSS almacenada en el Directorio de servicios de ArcGIS Server
  • BUG-000137663: vulnerabilidad de XSS almacenada en ArcGIS Server
  • BUG-000137662: XSS reflejada en ArcGIS Server
  • BUG-000137658 - Vulnerabilidad de SSRF en ArcGIS Server Manager.
  • BUG-000135919 - El sitio no vuelve a su estado funcional cuando la importación del sitio de ArcGIS Server falla cuando se usa la herramienta DR de recuperación ante desastres.
  • BUG-000135918 - La importación de un sitio de ArcGIS Server con la herramienta DR de recuperación ante desastres puede fallar esporádicamente.
  • BUG-000135563 - Si el nombre de campo se nombra con cadenas de varios bytes, el uso de la cláusula WHERE como operación de consulta con el campo falla.
  • BUG-000134113 - Actualizar iteminfo del servicio solo si los campos de Descripción del elemento se editan intencionadamente en Server Manager.
  • BUG-000133232: agregar compatibilidad en ArcGIS Server para garantizar que los miembros del portal de ArcGIS Enterprise con roles personalizados puedan eliminar sus propios servicios cuando el rol incluya privilegios administrativos como "Ver todos los miembros" y privilegios de publicador.
  • BUG-000132999 - En un sitio de ArcGIS Server de varios equipos es posible que el proceso de restauración no cancele correctamente el registro y vuelva a registrar los nodos adicionales.
  • BUG-000131992 - Vulnerabilidad de creación de scripts entre sitios reflejada (XSS) en ArcGIS Server.
  • BUG-000127160 - Error al habilitar el rastreo de ubicación cuando el almacén de configuración se encuentra en el almacenamiento en la nube.

Para evitar conflictos en la versión 10.7.1, este parche también aborda lo siguiente:
  • BUG-000137668 - Vulnerabilidad de XSS almacenada en el Directorio de servicios de ArcGIS Server
  • BUG-000137663: vulnerabilidad de XSS almacenada en ArcGIS Server
  • BUG-000137662: XSS reflejada en ArcGIS Server
  • BUG-000137658 - Vulnerabilidad de SSRF en ArcGIS Server Manager.
  • BUG-000132311: no se puede ver la información del espacio de trabajo de servicio en Server Manager cuando el almacén de configuración del sitio está almacenado en S3/DynamoDB en AWS
  • BUG-000131992 - Vulnerabilidad de creación de scripts entre sitios reflejada (XSS) en ArcGIS Server.
  • BUG-000130002: Las solicitudes 'GetFolders', 'GetDescriptions' y 'GetDescriptionsEx' fallan en las implementaciones de ArcGIS Server 10.7.1 en Amazon Web Services.
  • BUG-000128892: El almacenamiento en caché con 64 o más instancias en un solo equipo puede fallar a pesar de que los recursos del sistema sean suficientes.
  • BUG-000128060 - ArcGIS Server contiene una vulnerabilidad de seguridad de falsificación de solicitud de servidor (SSRF).
  • BUG-000127160 - Error al habilitar el rastreo de ubicación cuando el almacén de configuración se encuentra en el almacenamiento en la nube.
  • BUG-000127113 - No se puede conectar a almacén de identidades mediante Asp.net con ArcGIS Server 10.7. o posterior después de reiniciar el servicio de Windows de ArcGIS Server.
  • BUG-000125331 - CreateReplica con registerExistingData debe tener en cuenta las URL de servicio con nombres de equipo diferentes para FS alojado
  • BUG-000125214: Optimize la eliminación de servicios para evitar tiempos de espera en implementaciones que incluyan un gran número de servicios.
  • BUG-000125044 - El servicio de entidades alojado tiene una vulnerabilidad de creación de scripts entre sitios (XSS) almacenada.
  • BUG-000124991 - ArcGIS Server no importa completamente certificados raíz o intermedios.
  • BUG-000124867 - Cuando se intenta descargar un área del mapa gestionada en Collector for ArcGIS, la descarga falla debido a un error que ocurre entre ArcGIS Server y el acceso a la réplica de ArcGIS Web Adaptor.
  • BUG-000124827 - En un sitio con varios equipos de ArcGIS Server que tiene uno o más servicios de mapas almacenados en caché que han sido consumidos a través de ArcMap o un cliente de SOAP, la publicación de un servicio o la detención/inicio de un servicio provoca que todos los servicios de los equipos se reinicien.
  • BUG-000124576 - El inicio de un servicio de mapas con una extensión de objeto de servidor (SOE) de Java SOAP habilitada falla con el error "javax/xml/bind/JAXBException".
  • BUG-000124287 - La publicación falla porque el registro de la base de datos corporativa falla, aunque parece funcionar en la UI. Esto podría ocurrir en una configuración de equipo que contiene varias tarjetas de red.
  • BUG-000123103 - ArcGIS Server gestiona incorrectamente un origen de CORS incorrecto.
  • BUG-000122285 - La escalabilidad del servicio de escenas 3D se obstaculiza por lecturas/escrituras frecuentes en el almacén de configuración y los directorios.
  • BUG-000120535 - En el gráfico de serie de Operations Dashboard for ArcGIS en Portal for ArcGIS, la ordenación de datos por estadísticas en la configuración de opciones de datos devuelve el mensaje de advertencia, "No se puede acceder a los datos".

Para evitar conflictos en la versión 10.6.1, este parche también aborda lo siguiente:
  • BUG-000137702 - Aborda un bloqueo en ArcGIS al trabajar con archivos PMF
  • BUG-000137668: Vulnerabilidad de XSS almacenada en ArcGIS Server
  • BUG-000137663: Vulnerabilidad de XSS almacenada en ArcGIS Server.
  • BUG-000137662: XSS reflejado en ArcGIS Server.
  • BUG-000137659: Creación de secuencias de comandos entre sitios (XSS) en ArcGIS Server Manager.
  • BUG-000137658 - Vulnerabilidad de SSRF en ArcGIS Server Manager.
  • BUG-000134965: existe una vulnerabilidad de inyección SQL en ArcGIS Server
  • BUG-000132034 - En Portal for ArcGIS, si el nombre del archivo adjunto está en japonés, un archivo adjunto no se puede abrir, pero se puede descargar.
  • BUG-000131992 - Vulnerabilidad de creación de scripts entre sitios reflejada (XSS) en ArcGIS Server.
  • BUG-000131010 - El comando Buscar del extremo REST de ArcGIS Desktop y ArcGIS Server tarda exponencialmente más tiempo en ejecutarse en la versión 10.6.1 que en la 10.6.0.
  • BUG-000130724 - El método Evaluación condicional del componente RasterConditionalOp de Spatial Analyst falla inesperadamente cuando se invoca en una sintaxis anterior a 10.
  • BUG-000128883 - La herramienta de geoprocesamiento Registrar con geodatabase se carga y funciona con lentitud en ArcMap al registrar vistas o tablas espaciales grandes con una geodatabase corporativa.
  • BUG-000128381: La réplica unidireccional falla y emite el error "Error al sincronizar la réplica [.] Tabla no registrada [PEA.GDB_TEMP_USER_IDS]".
  • BUG-000128060 - ArcGIS Server contiene una vulnerabilidad de seguridad de falsificación de solicitud de servidor (SSRF).
  • BUG-000126701 - Los servicios alojados no se restauran si su vista asociada aparece en una lista alfabética después del servicio alojado.
  • BUG-000126173 - GeoAnalytics Server no admite conexiones a Hadoop con autenticación Kerberos cuando la propiedad hadoop.rpc.protection de Hadoop está definida como "privacidad" o "integridad".
  • BUG-000125044 - El servicio de entidades alojado tiene una vulnerabilidad de creación de scripts entre sitios (XSS) almacenada.
  • BUG-000124827 - En un sitio con varios equipos de ArcGIS Server que tiene uno o más servicios de mapas almacenados en caché que han sido consumidos a través de ArcMap o un cliente de SOAP, la publicación de un servicio o la detención/inicio de un servicio provoca que todos los servicios de los equipos se reinicien.
  • BUG-000124386 - Corregir el orden de las operaciones durante importSite.
  • BUG-000124326 - El cambio de nombre de una clase de entidad SDO_Geometry falla en Oracle 19c.
  • BUG-000124325 - Crear tipo espacial falla en Oracle 19c.
  • BUG-000124079 - Ejecutar ajuste de bloques en la colección de imágenes una segunda vez puede generar un fallo con el valor de elevación ausente.
  • BUG-000123103 - ArcGIS Server gestiona incorrectamente un origen de CORS incorrecto.
  • BUG-000122408 - No se conserva ningún certificado personalizado para el servidor del servidor web al restaurar una copia de seguridad webgisdr.
  • BUG-000122285 - Los servicios de escenas 3D de ArcGIS Enterprise proporcionan un rendimiento deficiente y no se ajustan bien entre múltiples nodos SIG.
  • BUG-000121595 - Problema ocasional/intermitente de creación del sitio y de crear servicio//eliminar servicio con Server.
  • BUG-000120805 - Existe un problema de control de accesos en ArcGIS Server.
  • BUG-000120195 - Error de restauración de servicio alojados que contienen vistas asociadas.
  • BUG-000119801 - La herramienta Muestra falla cuando se introduce más de un dataset de mosaico como rásteres de entrada.
  • BUG-000119759 - Mejorar la calidad y el rendimiento de la herramienta Muestra.
  • BUG-000119534 - Asignación de ruta produce resultados incorrectos cuando se especifican las características del origen.
  • BUG-000119493 - La herramienta Sumidero crea dos valores únicos para regiones de sumidero conectadas diagonalmente. Esto es incorrecto, ya que los sumideros conectados diagonalmente deberían identificarse con un solo valor único.
  • BUG-000119425 - Las tareas SummarizeRasterWithin y ConvertRasterToFeature de ArcGIS Image Server fallan al intentar leer directamente un servicio de imágenes de entrada colocado en un almacén de rásteres en la nube.
  • BUG-000119424 - Las herramientas Geometría zonal como tabla y Geometría zonal generan resultados incorrectos cuando se utiliza un campo que no sea un valor. En este caso, la lógica para calcular las propiedades de geometría zonal no es correcta y el software puede fallar.
  • BUG-000119423 - La herramienta Cuenca hidrográfica se bloquea cuando la extensión de procesamiento se define como una cuenca de una sola celda.
  • BUG-000119422 - La herramienta Distancia de flujo de ModelBuilder no muestra el parámetro "FlowDistanceType".
  • BUG-000119421 - La herramienta Distancia de flujo produce NoData en la mayoría de celdas cuando el ráster de superficie de entrada no está acondicionado hidrológicamente.
  • BUG-000119419 - Cuando Dirección euclidiana utiliza datos de alta resolución, produce una salida incorrecta.
  • BUG-000119323 - RasterToPolygon con "Crear entidades multiparte" habilitado bloquea la salida para la edición.
  • BUG-000119030 - Consultar o seleccionar más de ocho veces desde una geodatabase de archivos comprimida es más lento en ArcGIS Desktop 10.6.1 que en ArcGIS Desktop 10.5.1.
  • BUG-000118421 - Si hay caracteres no ingleses en una cadena de conexión, la herramienta Copiar ráster devolverá este error al importar un ráster en una geodatabase corporativa: "ERROR 999999: Error al ejecutar la función. No hay configurado ningún almacén de rásteres. No se ejecuta en un proceso de servidor. Error al ejecutar (CopyRaster)".
  • BUG-000118138: Los campos dobles de ArcGIS con precisión = 10 y escala = 0 en una geodatabase de Oracle se modifican automáticamente a Entero largo después de previsualizar en clientes de ArcGIS 10.6.1/ArcGIS Pro 2.2 o posterior. Se devuelve un error, "[ORA-01455: convertir columnas desborda un tipo de datos enteros]" si los campos contienen números mayores que el máximo para un entero largo (2.147.483.647).
  • BUG-000117983 - Problema de control de accesos en el controlador de teselas de ArcGIS Server.
  • BUG-000117954 - El servicio de escenas debe ignorar errores de certificado mientras consume caché de escena en el Scene Viewer.
  • BUG-000117633 - En 10.6.1 y anteriores, el servicio de plataforma de bus de mensajes podía no inicializarse correctamente en todos los entornos.
  • BUG-000117372 - Creación de scripts entre sitios (XSS) en la API del administrador de Server.
  • BUG-000116972 - Collector for ArcGIS (iOS) no envía adjuntos de fotos a capas de entidades alojadas en ArcGIS Enterprise 10.6.1.
  • BUG-000116589 - Ruta de coste y Ruta de coste como polilínea con entrada de dirección de flujo para ráster de vínculo son lentas.
  • BUG-000116047 - Ruta de coste produce una salida incorrecta cuando se utiliza el ráster de dirección de flujo como entrada para el ráster de vínculo y distancia.
  • BUG-000115799 - Las capas de teselas vectoriales alojadas en ArcGIS Enterprise 10.6.1 no aplican correctamente un exceso de zoom cuando se visualizan en el Visor de mapas.
  • BUG-000115304 - En sitios de varios equipos de ArcGIS Server, la operación ImportSite modifica las opciones de propiedad del equipo servidor correspondientes a HTTPS en equipos distintos del que ejecuta Importsite.
  • BUG-000115147 - Al llamar a ITopologicalOperator::Buffer en un polígono, la llamada de la zona de influencia falla si el polígono se degeneraba a un punto.
  • BUG-000113368 - Las herramientas Asignación euclidiana, Distancia euclidiana y Dirección euclidiana son mucho más lentas en la versión actual que en la versión anterior de ArcMap.
  • BUG-000113339 - La operación de exportación del sitio de ArcGIS Server 10.6 (o 10.7.1) devuelve el mensaje de error "Error en la operación de exportación. nulo" en Amazon Web Services (AWS) en Microsoft Windows y Linux (o Azure).
  • BUG-000111075 - Un servicio de entidades consumido en un servicio de GeoEvent no restablece la comunicación con la base de datos cuando se recupera la conexión de base de datos tras un fallo de comunicación.
  • BUG-000111075 - No se realiza el reciclaje del servicio para el servidor de entidades después de un fallo de conexión de DB.
  • BUG-000098315 - La herramienta Muestra devuelve datos nulos cuando el ráster de entrada es Mosaico.
  • BUG-000096996 - ExtractMultiValuestoPoints y ExtractValuestoPoints devuelven un error cuando la entidad de puntos de entrada es una capa de eventos XY.
  • BUG-000089296 - Los adjuntos del servicio de entidades de ArcGIS GIS Server se descargan en los navegadores web Mozilla Firefox y Google Chrome, en lugar de abrirse en una nueva pestaña o ventana del navegador.

Instalar este parche en Windows


Pasos para la instalación:


El producto ArcGIS que aparece en la tabla debe estar instalado en su sistema para poder instalar un parche. Cada configuración de parche es específica del producto ArcGIS de la lista. Para determinar qué productos están instalados en su sistema, consulte la sección Cómo identificar qué productos de ArcGIS están instalados. Esri recomienda que instale el parche para cada producto que esté instalado en su sistema.

  1. Descargue los archivos adecuados en una ubicación que no sea la de instalación de ArcGIS.

  2. ArcGIS 10.9  
       
    ArcGIS Server ArcGIS-109-S-SEC2021U2-Patch.msp
         Suma de comprobación
         (SHA256)    		 CE35131B1DD2643A4C1843036572072BE1FA03230C0500B8DF3B42DDCB675AEB
       
    ArcGIS 10.8.1  
       
    ArcGIS Server ArcGIS-1081-S-SEC2021U2-Patch.msp
         Suma de comprobación
         (SHA256)    		 AED467ADAAA40A615FDB746821589A35BF130B6DF49EC19A8CEF426616188E66
       
    ArcGIS 10.7.1  
       
    ArcGIS Server ArcGIS-1071-S-SEC2021U2-Patch.msp
         Suma de comprobación
         (SHA256)    		 2A96095DE1525F4C16774A42982C2E2E00DD4AB7C22F58103DAC1849377852BE
       
    ArcGIS 10.6.1  
       
    ArcGIS Server ArcGIS-1061-S-SEC2021U2-Patch.msp
         Suma de comprobación
         (SHA256)    		 6A175785A18BC4516FCC4A2D41B8CE6BCCA8F1684B04D1AA4202C510A7F17DB7
       

  3. Asegúrese de que tiene acceso de escritura a la ubicación de instalación de ArcGIS.

  5. Haga doble clic en ArcGIS-<Versión>-S-SEC2021U2-Patch.msp para iniciar el proceso de configuración.

    NOTA: Si haciendo doble clic en el archivo MSP no se inicia la instalación, puede iniciarla manualmente utilizando el siguiente comando:


    msiexec.exe /p [ubicación del parche]\ArcGIS-<Versión>-S-SEC2021U2-Patch.msp


Instalar este parche en Linux


Pasos para la instalación:


Complete los siguientes pasos de instalación como propietario de instalación de ArcGIS. El propietario de instalación es el propietario de la carpeta arcgis.

El producto ArcGIS que aparece en la tabla debe estar instalado en su sistema para poder instalar un parche. Cada configuración de parche es específica del producto ArcGIS de la lista. Para determinar qué productos están instalados en su sistema, consulte la sección Cómo identificar qué productos de ArcGIS están instalados. Esri recomienda que instale el parche para cada producto que esté instalado en su sistema.

  1. Descargue los archivos adecuados en una ubicación que no sea la de instalación de ArcGIS.


    ArcGIS 10.9  
       
    ArcGIS Server ArcGIS-109-S-SEC2021U2-Patch-linux.tar
         Suma de comprobación
         (SHA256)    		 B5D3E67A207B9D7D232D301DD79A27957B33A85A135CC06754EF6422B6CB5690
       
    ArcGIS 10.8.1  
       
    ArcGIS Server ArcGIS-1081-S-SEC2021U2-Patch-linux.tar
         Suma de comprobación
         (SHA256)    		 435AED1AF08155F5B083672B2229750F9868B438F4DE9B7E55EA7A756C7A0A8D
       
    ArcGIS 10.7.1  
       
    ArcGIS Server ArcGIS-1071-S-SEC2021U2-Patch-linux.tar
         Suma de comprobación
         (SHA256)    		 5D79D3B6132D6DA12EC90A14F4B3C9B7EB477BE0366ABB1E6ABCE1EDB5FECA25
       
    ArcGIS 10.6.1  
       
    ArcGIS Server ArcGIS-1061-S-SEC2021U2-Patch-linux.tar
         Suma de comprobación
         (SHA256)    		 EE372C32637AB4ECA07468CBFCCB39C092E1B93E89E28BD6EDB1C6296689160B
       
  2. Asegúrese de que tiene acceso de escritura a la ubicación de instalación de ArcGIS y de que nadie está usando ArcGIS.

  4. Extraiga el archivo tar específico escribiendo:


    % tar -xvf ArcGIS-<Versión>-S-SEC2021U2-Patch-linux.tar

  6. Inicie la instalación escribiendo:


    % ./applypatch

    Esto iniciará el cuadro de diálogo para el procedimiento de instalación basado en menús. Las selecciones predeterminadas se anotan entre paréntesis ( ). Para salir del proceso de instalación, escriba 'q' en cualquier momento.


Actualizar una geodatabase

Cuando se ha aplicado una corrección urgente o un parche para ArcGIS, también puede ser necesario actualizar su geodatabase. Consulte la sección Actualizar la geodatabase en la página Administración de geodatabase sobre su plataforma DBMS individual para obtener más información.


Desinstalar este parche en Windows


  • Para desinstalar este parche en Windows, abra el panel de control de Windows y vaya a los programas instalados. Asegúrese de que "Ver actualizaciones instaladas" (en la parte superior izquierda del cuadro de diálogo Programas y características) esté activado. Seleccione el nombre del parche en la lista de programas y haga clic en Desinstalar para eliminar el parche.

Desinstalar este parche en Linux


  • Para eliminar este parche en las versiones 10.7 y posteriores, vaya al directorio <Product Installation Directory>/.Setup/qfe y ejecute el siguiente script como propietario de la instalación de ArcGIS:


    ./removepatch.sh

    El script removepatch.sh le permite desinstalar parches o correcciones urgentes instalados anteriormente. Utilice el marcador de estado -s para obtener la lista de parches o correcciones urgentes instalados, ordenados por fecha. Utilice el marcador -q para eliminar parches o correcciones urgentes en orden cronológico inverso por su fecha de instalación. Escriba removepatch -h para obtener detalles de uso.

  • Reiniciar sus servicios de ArcGIS

Actualizaciones de parches

Compruebe la página Parches y Service Packs periódicamente para ver si hay parches adicionales disponibles. La información más reciente sobre este parche se publicará aquí.

24 de noviembre de 2021 La instalación de Windows de este parche se ha actualizado con nuevas firmas digitales. Este cambio soluciona el posible error de instalación:

Un certificado obligatorio no se encuentra dentro del periodo de validez cuando se comprueba con el reloj del sistema actual o la marca de tiempo del archivo firmado.

Cómo identificar qué productos de ArcGIS están instalados

Para determinar qué productos de ArcGIS están instalados, elija la versión apropiada de la utilidad PatchFinder para su entorno y ejecútela en su equipo local. PatchFinder enumerará todos los productos, correcciones urgentes y parches instalados en su equipo local.

Obtener ayuda

Para los sitios nacionales, póngase en contacto con Soporte técnico de Esri al 1-888-377-4575, si tiene alguna dificultad en instalar este parche. Para los sitios internacionales, póngase en contacto con su distribuidor de software Esri local.


Download ID:7937

Get help from ArcGIS experts

Contact technical support

Download the Esri Support App

Go to download options