Español

Parche 1 de actualización de seguridad 2019 para Portal for ArcGIS

Resumen

Este parche de seguridad corrige varias vulnerabilidades de seguridad encontradas en Portal for ArcGIS. Esri recomienda que todos los clientes que utilicen Portal for ArcGIS 10.6.1, 10.5.1 y 10.4.1 apliquen este parche.

Descripción

Esri® anuncia el Parche 1 de actualización de seguridad 2019 para Portal for ArcGIS. Esri recomienda que todos los clientes que utilicen Portal for ArcGIS 10.6.1, 10.5.1 y 10.4.1 apliquen este parche. Este parche trata específicamente los problemas que se enumeran a continuación en Problemas solucionados con este parche. Este parche trata específicamente los problemas que se enumeran a continuación en Problemas solucionados con este parche.

Nota: este parche de seguridad es acumulativo e incluye varias correcciones relacionadas y no relacionadas con la seguridad de parches anteriores que también se enumeran más abajo en Problemas solucionados con este parche.

Problemas solucionados con este parche


Para evitar conflictos, la versión 10.6.1 soluciona también:
  • BUG-000120392 - El widget Editor inteligente no establece expresiones de acción de atributos en Portal for ArcGIS 10.6.1
  • BUG-000120061 - Puntos de datos relacionados con la misma entidad en Web AppBuilder for ArcGIS para Portal for ArcGIS cuando existen varias relaciones con la misma clase de entidad.
  • BUG-000117926 - No se puede sincronizar espacios de trabajo de colaboración cuando el directorio de contenido del participante invitado utiliza un almacén en la nube.
  • BUG-000117564 - Vulnerabilidad de reasignación de privilegios
  • BUG-000117367 - Redireccionamiento no validado en Portal for ArcGIS
  • BUG-000116870 - No se puede compartir elementos de Libros de trabajo, Páginas y Modelos de Insights con Todos.
  • BUG-000115859- A partir del nivel 18 de zoom, la forma de selección de un polígono seleccionado difiere de la forma de dicho polígono para servicios de mapas agregados en el nivel de servidor de mapas desde ArcGIS Server 10.6.1.
  • BUG-000115964 - El Selector de aplicaciones deja de estar disponible después de que se deshabilita el contenido externo.
  • BUG-000112707 - Creación de scripts entre sitios (XSS) reflejada en la aplicación de inicio de Portal for ArcGIS.
  • BUG-000112342- La restauración gradual de webgisdr falla cuando Geo Analytics Server está federado y registrado con Portal como Geo Analytics Server.
  • ENH-000116621 - Agregar la capacidad de modificar el tiempo máximo de caducidad de token para los tokens generados para iniciar sesión en Portal for ArcGIS cuando se utilizan inicios de sesión iniciados por IDP.
  • ENH-000103213 - Agregar una opción para imponer la comunicación cifrada entre Portal for ArcGIS y Active Directory.
Para evitar conflictos, la versión 10.5.1 soluciona también:
  • BUG-000117369 - Creación de scripts entre sitios (XSS) reflejada en la URL del elemento
  • BUG-000117564 - Vulnerabilidad de reasignación de privilegios
  • BUG-000117367 - Redireccionamiento no validado en Portal for ArcGIS
  • BUG-000116992 - Al configurar la herramienta de análisis Crear zona de influencia en el Visor de mapas de Portal for ArcGIS, alternar la capa de zona de influencia de entrada entre distintos tipos de geometría no refresca correctamente las opciones de zona de influencia disponibles.
  • BUG-000114549 - El contraste entre flechas activas e inactivas del navegador de extensión en Web AppBuilder for ArcGIS se debe aumentar cuando el fondo es oscuro.
  • BUG-000114489 - El servlet de lenguaje de marcado keyhole (KML) no respeta totalmente la configuración de proxy.
  • BUG-000114488 - El servicio de indexación de Portal for ArcGIS presenta una vulnerabilidad de seguridad.
  • BUG-000111424 - Se muestran elementos emergentes al alternar entre los widgets Dibujar, Medición y Coordenada.
  • BUG-000113157 - Se produce un error en el sitio de importación de Portal for ArcGIS si la copia de seguridad contiene archivos Thumbs.db.
  • BUG-000112707 - Creación de scripts entre sitios (XSS) reflejada en la aplicación de inicio de Portal for ArcGIS.
  • BUG-000112749 - Creación de scripts entre sitios (XSS) reflejada en el Visor de mapas de ArcGIS Online.
  • BUG-000112595 - Hacer clic en el vínculo de correo electrónico del widget Compartir genera un mensaje de navegación no deseado.
  • BUG-000112059 - En Portal for ArcGIS, las opciones de Seleccionar de la herramienta Zona de influencia del widget Análisis de Web AppBuilder for ArcGIS permanecen bloqueadas si las capas de entidades alojadas se encuentran en este orden: puntos, polígonos, polilíneas y de nuevo puntos.
  • BUG-000112477 - La acción de entidad Agregar marcador no funciona de la forma esperada.
  • BUG-000112360 - El builder de la aplicación web de Portal for ArcGIS presenta una vulnerabilidad de creación de scripts entre sitios (XSS).
  • BUG-000112358 - Saneamiento de URL proporcionado al recurso de leyenda para eliminar caracteres no válidos en una URL de SOAP.
  • BUG-000112357 - Redireccionamiento no validado en los extremos /portal/sharing/login y portal/sharing/rest/login de Portal for ArcGIS.
  • BUG-000112161 - El visor web de CityEngine de Portal for ArcGIS presenta un problema de creación de scripts entre sitios (XSS) reflejada.
  • BUG-000112088 - La operación Mostrar tabla del mapa web de Portal for ArcGIS 10.5.1 no devuelve el atributo del servicio de imágenes.
  • BUG-000112026 - Después de aplicar el parche de Seguridad 2018 Actualización 1 de Portal for ArcGIS, si un usuario de dominio introduce una contraseña incorrecta al iniciar sesión en la aplicación de inicio de Portal for ArcGIS, se bloquea a todos los usuarios de dominio de Portal for ArcGIS.
  • BUG-000111942 - La simbología no se conserva en una capa de entidades compartida si se aplica un filtro y otro usuario accede a la capa para crear su propio mapa web.
  • BUG-000110677 - Los datos trazados con anterioridad no se borran de la pantalla al alejarse.
  • BUG-000110632 - El mapa basado en GeoEvent y los servicios de entidades relacionados no se deben combinar cuando se agregan ambos a la tabla de contenido del Visor de mapas.
  • BUG-000110291 - Portal for ArcGIS no debe analizar las etiquetas de las entidades.
  • BUG-000110290 - Eliminar las entradas de registro no válidas de la base de datos interna de Portal for ArcGIS.
  • BUG-000111090 - Al seleccionar un widget, se pierde la selección si se utiliza la funcionalidad Crear capa en una capa agregada con el widget Agregar datos en Web AppBuilder en Portal for ArcGIS.
  • BUG-000111077 - Error de ejecución: Asignación de valor ilegal a una entidad al editar etiquetas en un mapa web del Portal con la visibilidad de capa desactivada.
  • BUG-000111058 - El editor de Arcade realiza llamadas al dominio "fast.fonts.net", lo que origina retrasos significativos en las redes desconectadas.
  • BUG-000110542 - En Web AppBuilder for ArcGIS, la opción Crear capa no estará habilitada si solo se selecciona una entidad.
  • BUG-000109870 - En el Visor de mapas, las teselas vectoriales no respetan los ajustes de escala visible al alejarse y los polígonos se distribuyen en áreas no adyacentes.
  • BUG-000109517 - En el Visor de mapas de Portal for ArcGIS 10.5.1, el panel Crear etiquetas no funciona con servicios de mapas publicados desde un documento de mapa con el ajuste "Permitir asignación de Id. numéricos únicos para la publicación del servicio de mapas" especificado.
  • BUG-000108753 - Portal for ArcGIS, si está configurado con la autenticación de nivel de portal y tiene activada la creación automática de cuentas, crea cuentas que rebasan el número de licencias disponible.
  • BUG-000108364 - El widget Agregar datos incluido en Portal for ArcGIS y Web AppBuilder Developer Edition devuelve un error después de buscar un archivo CSV.
  • BUG-000108155 - Se dispara un número infinito de solicitudes generateToken en el Visor de mapas si caduca el token de un Portal configurado con Autenticación de Windows integrada (IWA) y federado con ArcGIS Server.
  • BUG-000107814 - Crear etiquetas no funciona en Portal for ArcGIS 10.5.1 para los servicios de mapas de ArcGIS Server 10.5.1.
  • BUG-000107440 - Portal for ArcGIS impide el acceso a portaladmin cuando el nombre del equipo actual no aparece en el certificado.
  • BUG-000107004 - Se devuelve un mensaje de error cuando se ejecuta el servicio de geoprocesamiento Tarea de extracción de datos en Web AppBuilder for ArcGIS para Portal for ArcGIS 10.5.1 en Internet Explorer.
  • BUG-000106909 - Al filtrar un servicio de mapas, no se filtra la tabla de atributos en el mapa web.
  • BUG-000106917 - El Visor de mapas de Portal for ArcGIS 10.5.1 no carga el mapa base de carreteras de Bing si HTTPS solo está habilitado debido a errores de coincidencia de certificados en las teselas solicitadas.
  • BUG-000106874 - Los adjuntos no se conservan en el elemento emergente de los mapas web cuando se busca por funcionalidad de capas.
  • BUG-000106303 - Portal for ArcGIS no respeta totalmente la configuración "domainControllerAddress" de la configuración de seguridad.
  • BUG-000105202 - Al acceder a un servicio seguro en Portal con credenciales guardadas, la solicitud del token generado con proxy no respeta el parámetro nonProxyHosts.
  • BUG-000105062 - El widget Agregar datos incluido en Portal for ArcGIS y Web AppBuilder Developer Edition falla al trazar resultados después de buscar un shapefile comprimido.
  • BUG-000104949 - Los mapas base del sistema de coordenadas WGS84 no se dibujan en el cuadro de diálogo Definir extensión, en Detalles del elemento.
  • BUG-000103846 - Portal for ArcGIS cuenta con una vulnerabilidad de credenciales con codificación fija.
  • ENH-000103213 - Agregar una opción para imponer la comunicación cifrada entre Portal for ArcGIS y Active Directory.
Para evitar conflictos, la versión 10.4.1 soluciona también:
  • BUG-000117369 - Creación de scripts entre sitios (XSS) reflejada en la URL del elemento
  • BUG-000117564 - Vulnerabilidad de reasignación de privilegios
  • BUG-000117367 - Redireccionamiento no validado en Portal for ArcGIS
  • BUG-000114489 - El servlet de lenguaje de marcado keyhole (KML) no respeta totalmente la configuración de proxy.
  • BUG-000114325 - Varias páginas de Portal for ArcGIS 10.3.x y 10.4.x no se visualizan correctamente después de actualizar a Chrome 67.
  • BUG-000112749 - Creación de scripts entre sitios (XSS) reflejada en el Visor de mapas de ArcGIS Online.
  • BUG-000112707 - Creación de scripts entre sitios (XSS) reflejada en la aplicación de inicio de Portal for ArcGIS.
  • BUG-000112360 - El builder de la aplicación web de Portal for ArcGIS presenta una vulnerabilidad de creación de scripts entre sitios (XSS).
  • BUG-000112358 - Saneamiento de URL proporcionado al recurso de leyenda para eliminar caracteres no válidos en una URL de SOAP.
  • BUG-000112357 - Redireccionamiento no validado en los extremos /portal/sharing/login y portal/sharing/rest/login de Portal for ArcGIS.
  • BUG-000112161 - El visor web de CityEngine de Portal for ArcGIS presenta un problema de creación de scripts entre sitios (XSS) reflejada.
  • BUG-000110291 - Portal for ArcGIS no debe analizar las etiquetas de las entidades.
  • BUG-000110290 - Eliminar las entradas de registro no válidas de la base de datos interna de Portal for ArcGIS.
  • BUG-000101562 - No se puede utilizar la opción "Editar ajustes" de Portal for ArcGIS si se utiliza el Java Web Adaptor con Apache Tomcat 7.0.73+ o 8.0.39+.
  • BUG-000108753 - Portal for ArcGIS, si está configurado con la autenticación de nivel de portal y tiene activada la creación automática de cuentas, crea cuentas que rebasan el número de licencias disponible.
  • BUG-000108155 - Se dispara un número infinito de solicitudes generateToken en el Visor de mapas si caduca el token de un Portal configurado con Autenticación de Windows integrada (IWA) y federado con ArcGIS Server.
  • BUG-000104718 - Las teselas de una capa de teselas alojadas proveniente de ArcGIS Online no son visibles en el Visor de mapas de Portal for ArcGIS si la capa de teselas se agrega como un elemento con credenciales almacenadas.
  • BUG-000104116 - Al agregar miembros a Portal for ArcGIS con inicios de sesión corporativos, los usuarios cuyos nombres de usuario tienen menos de seis caracteres no se agregan, aunque no existe tal límite en realidad en Portal for ArcGIS.
  • BUG-000103731 - En una implementación de Portal de alta disponibilidad, el nodo primario vuelve al estado "Crear nuevo sitio" si el nodo primario pierde la conexión al directorio de contenido.
  • BUG-000103700 - La página de inicio de sesión de Portal se visualiza en inglés en lugar de en el idioma predeterminado si "Permitir acceso anónimo al portal" está desactivado.
  • BUG-000102927 - Si una capa se visualiza lentamente en el Visor de mapas, el mensaje que indica que la capa no responde no desaparece automáticamente una vez dibujada la capa.
  • BUG-000102793 - Las estructuras grandes de grupo de Active Directory generan problemas de latencia en Portal for ArcGIS.
  • BUG-000100424 - El widget de geoprocesamiento de Web AppBuilder for ArcGIS no visualiza la tabla de salida si el servicio de geoprocesamiento se publica con el parámetro "Ver resultado con un servicio de mapas".
  • BUG-000100420 - La casilla de verificación de las capas del widget Lista de capas no funciona después de refrescar o iniciar de nuevo la aplicación en el caso de las capas de entidades de servicio de mapas si la capa de grupo está desactivada y las subcapas están activadas.
  • BUG-000099447 - No se pueden cargar archivos en la aplicación de inicio de Portal después de actualizar el navegador a Firefox 49 o Chrome 54.
  • BUG-000098559 – Redireccionamiento no validado en Portal for ArcGIS.
  • BUG-000098482 - Problema de creación de scripts entre sitios (XSS) en Portal for ArcGIS.
  • BUG-000098148: la actualización de pertenencia de los usuarios y grupos corporativos no puede respetar la pertenencia de grupos anidados en los grupos universales.
  • BUG-000098118 - Portal for ArcGIS expone información interna.
  • BUG-000098025 - Omitir la regla de redireccionamiento de direcciones URL en Portal for ArcGIS.
  • BUG-000097777 - Compatibilidad con los inicios de sesión SAML a Portal for ArcGIS cuando se ha definido un proxy inverso mediante la propiedad WebContextURL.
  • BUG-000096571 - El atributo de seguridad no está presente en una cookie en Portal for ArcGIS.
  • BUG-000096570 - La creación de scripts entre sitios (XSS) reflejada es posible en Portal for ArcGIS.
  • BUG-000096161: se devuelve el error "No se puede actualizar el elemento" cuando se realizan análisis mediante las herramientas de análisis espacial en el visor de mapas de Portal for ArcGIS. Este error se produce cuando ArcGIS Web Adaptor (o cualquier proxy inverso) reside en un equipo distinto del equipo que aloja ArcGIS Server.
  • BUG-000094537- Los usuarios de Active Directory que pertenecen a un grupo corporativo con el mismo nombre que un grupo dentro de otro dominio obtienen acceso a Portal for ArcGIS 10.4 aunque no pertenezcan al grupo.
  • BUG-000094523 - Los usuarios entre dominios no pueden ver a qué grupos corporativos pertenecen en Portal for ArcGIS 10.4.
  • BUG-000091316 - Algunas operaciones de carga del Portal no validan el tipo de archivo correctamente.
  • ENH-000103213 - Agregar una opción para imponer la comunicación cifrada entre Portal for ArcGIS y Active Directory.
  • ENH-000092759 - Compatibilidad con los nombres de usuario corporativos con una longitud mínima de 3 caracteres.
  • NIM104313 - Al desconectar a un usuario corporativo de Portal for ArcGIS, la desconexión del usuario no se propaga al proveedor de identidades SAML correspondiente.

Instalar este parche en Windows


Pasos para la instalación:


El producto ArcGIS que aparece en la tabla debe estar instalado en su sistema para poder instalar un parche. Cada configuración de parche es específica del producto ArcGIS de la lista. Para determinar qué productos están instalados en su sistema, consulte la sección Cómo identificar qué productos de ArcGIS están instalados. Esri recomienda que instale el parche para cada producto que esté instalado en su sistema.

  1. Descargue los archivos adecuados en una ubicación que no sea la de instalación de ArcGIS.

  2. ArcGIS 10.6.1   Suma de comprobación (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch.msp 51EF857E8B4525DFEE08048FBC89B5DC
         
    ArcGIS 10.5.1   Suma de comprobación (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch.msp E3B68D2062256231C5B194CBC867C7C0
         
    ArcGIS 10.4.1   Suma de comprobación (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch.msp B4BD88CE425D928321C44F5FE6743FE1
         

  3. Asegúrese de que tiene acceso de escritura a la ubicación de instalación de ArcGIS.

  4. Haga doble clic en ArcGIS--PFA-SEC2019U1-Patch.msp para iniciar el proceso de instalación.

    NOTA: Si haciendo doble clic en el archivo MSP no se inicia la instalación, puede iniciarla manualmente utilizando el siguiente comando:

    msiexec.exe /p [ubicación del parche]\ArcGIS--PFA-SEC2019U1-Patch.msp


Instalar este parche en Linux


Pasos para la instalación:


Complete los siguientes pasos de instalación como propietario de instalación de ArcGIS. El propietario de instalación es el propietario de la carpeta arcgis.

El producto ArcGIS que aparece en la tabla debe estar instalado en su sistema para poder instalar un parche. Cada configuración de parche es específica del producto ArcGIS de la lista. Para determinar qué productos están instalados en su sistema, consulte la sección Cómo identificar qué productos de ArcGIS están instalados. Esri recomienda que instale el parche para cada producto que esté instalado en su sistema.

  1. Descargue los archivos adecuados en una ubicación que no sea la de instalación de ArcGIS.


    ArcGIS 10.6.1   Suma de comprobación (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch-linux.tar DFFE5A971B8D2EF4124BE0E659782F80
         
    ArcGIS 10.5.1   Suma de comprobación (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch-linux.tar 342660988AD4393D9EB45A5D59D6C876
         
    ArcGIS 10.4.1   Suma de comprobación (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch-linux.tar BC31A417DC58A3751366FE5AF5A0E65F
         

  2. Asegúrese de que tiene acceso de escritura a la ubicación de instalación de ArcGIS y de que nadie está usando ArcGIS.

  3. Extraiga el archivo tar específico escribiendo:

    % tar -xvf ArcGIS--PFA-SEC2019U1-Patch-linux.tar

  4. Inicie la instalación escribiendo:

    % ./applypatch

    Esto iniciará el cuadro de diálogo para el proceso de instalación basado en menús. Las selecciones predeterminadas se anotan entre paréntesis ( ). Para salir del proceso de instalación, escriba 'q' en cualquier momento.

Desinstalar este parche en Windows


    Para desinstalar este parche en Windows, abra el panel de control de Windows y vaya a los programas instalados. Asegúrese de que "Ver actualizaciones instaladas" (en la parte superior izquierda del cuadro de diálogo Programas y características) esté activado. Seleccione el nombre del parche en la lista de programas y haga clic en Desinstalar para eliminar el parche.

Desinstalar este parche en Linux


La desinstalación de este parche solo está disponible en la versión 10.6 y posteriores. Para eliminar este parche, vaya al directorio /tmp y ejecute el siguiente script como propietario de la instalación de ArcGIS:

./patchremove

Notas: Solamente puede eliminar el parche instalado más recientemente.

Clasificaciones de CVSS Versión 3.0

Esri introduce la puntuación CVSS (Common Vulnerability Scoring System) con cada una de los problemas de seguridad solucionados en el parche para proporcionar una manera de clasificar la gravedad de los problemas. La siguiente tabla describe las clasificaciones.

Gravedad Rango de puntuación base
Nada 0,0
Low 0.1 - 3.9
Medium 4.0 - 6.9
High 7.0 - 8.9
Crítico 9.0 - 10.0

Actualizaciones de parches

Compruebe la página Parches y Service Packs periódicamente para ver si hay parches adicionales disponibles. La información más reciente sobre este parche se publicará aquí.

Cómo identificar qué productos de ArcGIS están instalados

Para determinar qué productos de ArcGIS están instalados, elija la versión apropiada de la utilidad PatchFinder para su entorno y ejecútela en su equipo local. PatchFinder enumerará todos los productos, correcciones urgentes y parches instalados en su equipo local.

Obtener ayuda

Para los sitios nacionales, póngase en contacto con Soporte técnico de Esri al 1-888-377-4575, si tiene alguna dificultad en instalar este parche. Para los sitios internacionales, póngase en contacto con su distribuidor de software Esri local.