Español

Parche de actualización 2 para Portal for ArcGIS Security 2018

Resumen

Este parche de seguridad corrige varias vulnerabilidades de seguridad encontradas en Portal for ArcGIS. Esri recomienda que todos los clientes que utilicen Portal for ArcGIS 10.5.1, 10.4.1 y 10.3.1 apliquen este parche.

Descripción

Esri® anuncia el Parche de actualización 2 para Portal for ArcGIS Security 2018 Esri recomienda que todos los clientes que utilicen Portal for ArcGIS 10.5.1, 10.4.1 y 10.3.1 apliquen este parche. Este parche trata específicamente los problemas que se enumeran a continuación en Problemas solucionados con este parche. Este parche de seguridad es acumulativo e incluye varias correcciones no relacionadas con la seguridad de un parche anterior que también se enumeran más abajo en Problemas solucionados con este parche. Trata específicamente los problemas que se enumeran a continuación en Problemas solucionados con este parche.


Problemas solucionados con este parche


  • BUG-000114533 - Si la restauración o actualización de Portal falla, debe volver a su estado anterior automáticamente.
  • BUG-000114489 - Vulnerabilidad del control de acceso proxy incorrecta.
  • BUG-000114488 - Vulnerabilidad del almacenamiento débil de información sensible en Portal for ArcGIS. (Solo Portal for ArcGIS 10.5.1)
  • BUG-000112749 - Vulnerabilidad de creación de scripts entre sitios reflejada (XSS) en Portal for ArcGIS.
  • BUG-000112358 - Vulnerabilidad de creación de scripts entre sitios reflejada (XSS) en Portal for ArcGIS.
  • BUG-000112360 - Vulnerabilidad de creación de scripts entre sitios almacenada (XSS) en Portal for ArcGIS. (Solo Portal for ArcGIS 10.5.1)
  • BUG-000112357 - Redireccionamiento no validado en Portal for ArcGIS.
  • BUG-000112161 - Vulnerabilidad de creación de scripts entre sitios reflejada (XSS) en Portal for ArcGIS.

Para evitar conflictos, la versión 10.5.1 soluciona también:
  • BUG-000113157 - Se produce un error en el sitio de importación de Portal for ArcGIS si la copia de seguridad contiene archivos Thumbs.db.
  • BUG-000112088 - La operación Mostrar tabla del mapa web de Portal for ArcGIS 10.5.1 no devuelve el atributo del servicio de imágenes.
  • BUG-000112026 - Después de aplicar el parche de Seguridad 2018 Actualización 1 de Portal for ArcGIS, si un usuario de dominio introduce una contraseña incorrecta al iniciar sesión en la aplicación de inicio de Portal for ArcGIS, se bloquea a todos los usuarios de dominio de Portal for ArcGIS.
  • BUG-000111942 - La simbología no se conserva en una capa de entidades compartida si se aplica un filtro y otro usuario accede a la capa para crear su propio mapa web.
  • BUG-000111090 - Al seleccionar un widget, se pierde la selección si se utiliza la funcionalidad Crear capa en una capa agregada con el widget Agregar datos en Web AppBuilder en Portal for ArcGIS.
  • BUG-000111077 - Error de ejecución: Asignación de valor ilegal a una entidad al editar etiquetas en un mapa web del Portal con la visibilidad de capa desactivada.
  • BUG-000111058 - El editor de Arcade realiza llamadas al dominio "fast.fonts.net", lo que origina retrasos significativos en las redes desconectadas.
  • BUG-000110632 - El mapa basado en GeoEvent y los servicios de entidades relacionados no se deben combinar cuando se agregan ambos a la tabla de contenido del Visor de mapas.
  • BUG-000110542 - En Web AppBuilder for ArcGIS, la opción Crear capa no estará habilitada si solo se selecciona una entidad.
  • BUG-000110291 - Portal for ArcGIS no debe analizar las etiquetas de las entidades.
  • BUG-000110290 - Eliminar las entradas de registro no válidas de la base de datos interna de Portal for ArcGIS.
  • BUG-000109870 - En el Visor de mapas, las teselas vectoriales no respetan los ajustes de escala visible al alejarse y los polígonos se distribuyen en áreas no adyacentes.
  • BUG-000109517 - En el Visor de mapas de Portal for ArcGIS 10.5.1, el panel Crear etiquetas no funciona con servicios de mapas publicados desde un documento de mapa con el ajuste "Permitir asignación de Id. numéricos únicos para la publicación del servicio de mapas" especificado.
  • BUG-000108753 - Portal for ArcGIS, si está configurado con la autenticación de nivel de portal y tiene activada la creación automática de cuentas, crea cuentas que rebasan el número de licencias disponible.
  • BUG-000108155 - Se dispara un número infinito de solicitudes generateToken en el Visor de mapas si caduca el token de un Portal configurado con Autenticación de Windows integrada (IWA) y federado con ArcGIS Server.
  • BUG-000107814 - Crear etiquetas no funciona en Portal for ArcGIS 10.5.1 para los servicios de mapas de ArcGIS Server 10.5.1.
  • BUG-000107440 - Portal for ArcGIS impide el acceso a portaladmin cuando el nombre del equipo actual no aparece en el certificado.
  • BUG-000107004 - Se devuelve un mensaje de error cuando se ejecuta el servicio de geoprocesamiento Tarea de extracción de datos en Web AppBuilder for ArcGIS para Portal for ArcGIS 10.5.1 en Internet Explorer.
  • BUG-000106917 - El Visor de mapas de Portal for ArcGIS 10.5.1 no carga el mapa base de carreteras de Bing si HTTPS solo está habilitado debido a errores de coincidencia de certificados en las teselas solicitadas.
  • BUG-000106909 - Al filtrar un servicio de mapas, no se filtra la tabla de atributos en el mapa web.
  • BUG-000106874 - Los adjuntos no se conservan en el elemento emergente de los mapas web cuando se busca por funcionalidad de capas.
  • BUG-000106303 - Portal for ArcGIS no respeta totalmente la configuración "domainControllerAddress" de la configuración de seguridad.
  • BUG-000105202 - Al acceder a un servicio seguro en Portal con credenciales guardadas, la solicitud del token generado con proxy no respeta el parámetro nonProxyHosts.
  • BUG-000104949 - Los mapas base del sistema de coordenadas WGS84 no se dibujan en el cuadro de diálogo Definir extensión, en Detalles del elemento.
  • BUG-000103846 - Portal for ArcGIS cuenta con una vulnerabilidad de credenciales con codificación fija.
Para evitar conflictos, la versión 10.4.1 soluciona también:
  • BUG-000114325 - Varias páginas de Portal for ArcGIS 10.3.x y 10.4.x no se visualizan correctamente después de actualizar a Chrome 67.
  • BUG-000110291 - Portal for ArcGIS no debe analizar las etiquetas de las entidades.
  • BUG-000110290 - Eliminar las entradas de registro no válidas de la base de datos interna de Portal for ArcGIS.
  • BUG-000108753 - Portal for ArcGIS, si está configurado con la autenticación de nivel de portal y tiene activada la creación automática de cuentas, crea cuentas que rebasan el número de licencias disponible.
  • BUG-000108155 - Se dispara un número infinito de solicitudes generateToken en el Visor de mapas si caduca el token de un Portal configurado con Autenticación de Windows integrada (IWA) y federado con ArcGIS Server.
  • BUG-000104116 - Al agregar miembros a Portal for ArcGIS con inicios de sesión corporativos, los usuarios cuyos nombres de usuario tienen menos de seis caracteres no se agregan, aunque no existe tal límite en realidad en Portal for ArcGIS.
  • BUG-000104718 - Las teselas de una capa de teselas alojadas proveniente de ArcGIS Online no son visibles en el Visor de mapas de Portal for ArcGIS si la capa de teselas se agrega como un elemento con credenciales almacenadas.
  • BUG-000103731 - En una implementación de Portal de alta disponibilidad, el nodo primario vuelve al estado "Crear nuevo sitio" si el nodo primario pierde la conexión al directorio de contenido.
  • BUG-000103700 - La página de inicio de sesión de Portal se visualiza en inglés en lugar de en el idioma predeterminado si "Permitir acceso anónimo al portal" está desactivado.
  • BUG-000102927 - Si una capa se visualiza lentamente en el Visor de mapas, el mensaje que indica que la capa no responde no desaparece automáticamente una vez dibujada la capa.
  • BUG-000102793 - Las estructuras grandes de grupo de Active Directory generan problemas de latencia en Portal for ArcGIS.
  • BUG-000101562 - No se puede utilizar la opción "Editar ajustes" de Portal for ArcGIS si se utiliza el Java Web Adaptor con Apache Tomcat 7.0.73+ o 8.0.39+.
  • BUG-000100420 - La casilla de verificación de las capas del widget Lista de capas no funciona después de refrescar o iniciar de nuevo la aplicación en el caso de las capas de entidades de servicio de mapas si la capa de grupo está desactivada y las subcapas están activadas.
  • BUG-000100424 - El widget de geoprocesamiento de Web AppBuilder for ArcGIS no visualiza la tabla de salida si el servicio de geoprocesamiento se publica con el parámetro "Ver resultado con un servicio de mapas".
  • BUG-000099447 - No se pueden cargar archivos en la aplicación de inicio de Portal después de actualizar el navegador a Firefox 49 o Chrome 54.
  • BUG-000098148: la actualización de pertenencia de los usuarios y grupos corporativos no puede respetar la pertenencia de grupos anidados en los grupos universales.
  • BUG-000098559 – Redireccionamiento no validado en Portal for ArcGIS.
  • BUG-000098482 - Problema de creación de secuencias de comandos entre sitios (XSS) en Portal for ArcGIS.
  • BUG-000098118 - Portal for ArcGIS expone información interna.
  • BUG-000098025 - Omitir la regla de redireccionamiento de direcciones URL en Portal for ArcGIS.
  • BUG-000097777 - Compatibilidad con los inicios de sesión SAML a Portal for ArcGIS cuando se ha definido un proxy inverso mediante la propiedad WebContextURL.
  • BUG-000096571 - El atributo de seguridad no está presente en una cookie en Portal for ArcGIS.
  • BUG-000096570 - La creación de secuencias de comandos entre sitios reflejada (XSS) es posible en Portal for ArcGIS.
  • BUG-000096161: se devuelve el error "No se puede actualizar el elemento" cuando se realizan análisis mediante las herramientas de análisis espacial en el visor de mapas de Portal for ArcGIS. Este error se produce cuando ArcGIS Web Adaptor (o cualquier proxy inverso) reside en un equipo distinto del equipo que aloja ArcGIS Server.
  • BUG-000094537- Los usuarios de Active Directory que pertenecen a un grupo corporativo con el mismo nombre que un grupo dentro de otro dominio obtienen acceso a Portal for ArcGIS 10.4 aunque no pertenezcan al grupo.
  • BUG-000094523 - Los usuarios entre dominios no pueden ver a qué grupos corporativos pertenecen en Portal for ArcGIS 10.4.
  • BUG-000091316 - Algunas operaciones de carga del Portal no validan el tipo de archivo correctamente.
  • ENH-000092759 - Compatibilidad con los nombres de usuario corporativos con una longitud mínima de 3 caracteres.
  • NIM104313 - Al desconectar a un usuario corporativo de Portal for ArcGIS, la desconexión del usuario no se propaga al proveedor de identidades SAML correspondiente.

Para evitar conflictos, la versión 10.3.1 soluciona también:
  • BUG-000114325 - Varias páginas de Portal for ArcGIS 10.3.x y 10.4.x no se visualizan correctamente después de actualizar a Chrome 67.
  • BUG-000110291 - Portal for ArcGIS no debe analizar las etiquetas de las entidades.
  • BUG-000110290 - Eliminar las entradas de registro no válidas de la base de datos interna de Portal for ArcGIS.
  • BUG-000108753 - Portal for ArcGIS, si está configurado con la autenticación de nivel de portal y tiene activada la creación automática de cuentas, crea cuentas que rebasan el número de licencias disponible.
  • BUG-000108155 - Se dispara un número infinito de solicitudes generateToken en el Visor de mapas si caduca el token de un Portal configurado con Autenticación de Windows integrada (IWA) y federado con ArcGIS Server.
  • BUG-000101456 - Una aplicación de Web AppBuilder for ArcGIS alojada en un servidor web que no es el equipo de Portal for ArcGIS no muestra las capas de entidades después de 30 minutos de tiempo de espera cuando Portal for ArcGIS está protegido con Autenticación de Windows integrada (IWA).
  • BUG-000099447 - No se pueden cargar archivos en la aplicación de inicio de Portal después de actualizar el navegador a Firefox 49 o Chrome 54.
  • BUG-000097640 - El dijit Galería de mapas base envía una solicitud de exportación de imágenes en lugar de solicitar teselas cuando se usa con un servicio de imágenes en caché como mapa base.
  • BUG-000098559 – Redireccionamiento no validado en Portal for ArcGIS.
  • BUG-000098482 - Problema de creación de secuencias de comandos entre sitios (XSS) en Portal for ArcGIS.
  • BUG-000098118 - Portal for ArcGIS expone información interna.
  • BUG-000098025 - Omitir la regla de redireccionamiento de direcciones URL en Portal for ArcGIS.
  • BUG-000096889: ArcGIS Server no puede comunicarse con Portal for ArcGIS cuando la dirección IP de Portal se resuelve en dos nombres de dominio diferentes totalmente cualificados.
  • BUG-000096571 - El atributo de seguridad no está presente en una cookie en Portal for ArcGIS.
  • BUG-000096570 - La creación de secuencias de comandos entre sitios reflejada (XSS) es posible en Portal for ArcGIS.
  • BUG-000094105 - La operación generateToken de Portal no puede rechazar las solicitudes POST que contienen el nombre de usuario o la contraseña en el parámetro de consulta.
  • BUG-000092447: vulnerabilidad Tomcat CVE-2014-0099. Ataque por desbordamiento de enteros.
  • BUG-000092445: vulnerabilidad Tomcat, "CVE-2014-0230. Ataque de denegación de servicio a través del consumo de subprocesos".
  • BUG-000091354: Portal no puede actualizar la pertenencia de los usuarios que se encuentran fuera del dominio en el que reside el servidor de Portal.
  • BUG-000091316 - Algunas operaciones de carga del Portal no validan el tipo de archivo correctamente.
  • BUG-000090845: acceso restringido al puerto de cierre interno de Tomcat.
  • BUG-000090552: cuando se edita la configuración de URL de un elemento en Portal for ArcGIS 10.3.1, la dirección URL del elemento no se guarda y se revierte al original. (Solo Linux)
  • BUG-000090024: no se pueden configurar ventanas emergentes para las capas de entidades del servicio de mapa con un Id. de capa único en Portal for ArcGIS.
  • BUG-000088826: después de actualizar de 10.3 o una versión anterior, el usuario no puede cambiar las contraseñas de las cuentas del portal integrado en Portal for ArcGIS.
  • BUG-000088682: cuando Portal se ha configurado para funcionar solo a través de SSL, las direcciones URL de Web AppBuilder se guardan como HTTP en lugar de HTTPs.
  • BUG-000088663: cuando un servicio Web Map Tile Service (WMTS) que utiliza WGS84 de un servidor WMTS que no es ArcGIS for Server se consume como un mapa base en Portal for ArcGIS, los resultados de geocodificación del Servicio de geocodificación mundial aparecen en la ubicación equivocada.
  • BUG-000088505: la configuración altamente disponible de Portal no debería restablecerse en un Portal independiente si la carpeta del contenido compartido no está disponible.
  • BUG-000086481: se visualizan geometrías incorrectas cuando se vuelve a proyectar un servicio alojado en el visor de mapas.
  • BUG-000085589: no se pueden visualizar las capas de mapa agregadas directamente a un mapa web del Portal cuando tanto Portal como ArcGIS Server están configurados para usar Integrated Windows Authentication (IWA) y ambos Web Adaptors están implementados en el mismo servidor.
  • BUG-000085482: se produce un error cuando se ignora el parámetro supportsPagination al buscar valores en una capa de entidades en Portal for ArcGIS 10.3.
  • BUG-000084180: en Portal for ArcGIS, cuando se edita el Nombre y Apellidos de un perfil de usuario, los campos de texto siempre se muestran en blanco en la página Editar mi perfil.

Instalar este parche en Windows


Pasos para la instalación:


Portal for ArcGIS debe estar instalado antes de instalar este parche.

  1. Descargue los archivos adecuados en una ubicación que no sea la de instalación de ArcGIS.

  2. Portal for ArcGIS 10.5.1   Suma de comprobación (Md5)
         
      ArcGIS-1051-PFA-SEC2018U2-Patch.msp D7AA6160DD402B33EB7C91B4E1D71743
         
    Portal for ArcGIS 10.4.1   Suma de comprobación (Md5)
         
      ArcGIS-1041-PFA-SEC2018U2-Patch.msp F598745C892422730B634F5A6FB30E16
         
    Portal for ArcGIS 10.3.1 Suma de comprobación (Md5)
     
      Próximamente
         

  3. Asegúrese de que tiene acceso de escritura a la ubicación de instalación de ArcGIS.

  4. Haga doble clic en ArcGIS--PFA-SEC2018U2-Patch.msp para iniciar el proceso de instalación.

    NOTA: Si haciendo doble clic en el archivo MSP no se inicia la instalación, puede iniciarla manualmente utilizando el siguiente comando:

    msiexec.exe /p [ubicación del parche]\ArcGIS--PFA-SEC2018U2-Patch.msp


Instalar este parche en Linux


Pasos para la instalación:


Complete los siguientes pasos de instalación como propietario de instalación de ArcGIS. El propietario de instalación es el propietario de la carpeta arcgis.

Portal for ArcGIS debe estar instalado antes de instalar este parche.

  1. Descargue los archivos adecuados en una ubicación que no sea la de instalación de ArcGIS.


    Portal for ArcGIS 10.5.1   Suma de comprobación (Md5)
         
      ArcGIS-1051-PFA-SEC2018U2-Patch-linux.tar 3D384912E34002408AA8E32458A7D79F
         
    Portal for ArcGIS 10.4.1   Suma de comprobación (Md5)
         
      ArcGIS-1041-PFA-SEC2018U2-Patch-linux.tar 61BFF8BEAC7047FADE59A97AC87D4BCA
         
    Portal for ArcGIS 10.3.1 Suma de comprobación (Md5)
     
      Próximamente  
         

  2. Asegúrese de que tiene acceso de escritura a la ubicación de instalación de ArcGIS y de que nadie está usando ArcGIS.

  3. Extraiga el archivo tar específico escribiendo:

    % tar -xvf ArcGIS--PFA-SEC2018U2-Patch-linux.tar

  4. Inicie la instalación escribiendo:

    % ./applypatch

    Esto iniciará el cuadro de diálogo para el proceso de instalación basado en menús. Las selecciones predeterminadas se anotan entre paréntesis ( ). Para salir del proceso de instalación, escriba 'q' en cualquier momento.

Desinstalar este parche en Windows


    Para desinstalar este parche en Windows, abra el panel de control de Windows y vaya a los programas instalados. Asegúrese de que "Ver actualizaciones instaladas" (en la parte superior izquierda del cuadro de diálogo Programas y características) esté activado. Seleccione el nombre del parche en la lista de programas y haga clic en Desinstalar para eliminar el parche.

Desinstalar este parche en Linux


    La desinstalación de este parche solo está disponible en la versión 10.5.1. Para eliminar este parche, vaya al directorio /tmp y ejecute el siguiente script como propietario de la instalación de ArcGIS:

    ./patchremove

    Notas: Solamente puede eliminar el parche instalado más recientemente.
    Reiniciar sus servicios de ArcGIS

Actualizaciones de parches

Compruebe la página Parches y Service Packs periódicamente para ver si hay parches adicionales disponibles. La información más reciente sobre este parche se publicará aquí.

13 de agosto 2018: Parche de Seguridad 2018 Actualización 2 de Portal for ArcGIS versión 10.5.1 ya está disponible para su descarga.

Cómo identificar qué productos de ArcGIS están instalados

Para determinar qué productos de ArcGIS están instalados, elija la versión apropiada de la utilidad PatchFinder para su entorno y ejecútela en su equipo local. PatchFinder enumerará todos los productos, correcciones urgentes y parches instalados en su equipo local.

Obtener ayuda

Para los sitios nacionales, póngase en contacto con Soporte técnico de Esri al 1-888-377-4575, si tiene alguna dificultad en instalar este parche. Para los sitios internacionales, póngase en contacto con su distribuidor de software Esri local.