PROBLÈME
Esri a découvert une vulnérabilité critique dans le composant Portal for ArcGIS d’ArcGIS Enterprise à l’origine d’un problème de fausse requête côté serveur (SSRF). Il existe un vecteur d’exploitation connu spécifique pour les déploiements exécutés sur une infrastructure dans Amazon Web Services (AWS), mais cette vulnérabilité peut s’appliquer à des clients dans d’autres environnements de cloud, selon le fournisseur cloud.Quel que soit l’environnement dans lequel ArcGIS Enterprise est exécuté, Esri recommande toujours d’installer les correctifs les plus récents de tous les logiciels ArcGIS Enterprise.
Toutes les versions antérieures à ArcGIS Enterprise 10.8 à la fois sur Windows et sur Linux sont concernées par ce problème de sécurité. Esri a publié des correctifs pour toutes les versions actuelles d’ArcGIS Enterprise, depuis la version 10.5 à la version 10.7.1. ArcGIS 10.3.x et 10.4.x ont un statut de prise en charge éprouvée. Esri ne fournit pas de correctifs pour les produits en phases de prise en charge éprouvée ou obsolète ; pour en savoir plus à ce sujet, reportez-vous à la Politique relative au cycle de vie des produits d’Esri.
Ce correctif a été publié afin de résoudre un défaut connu, BUG-000128058.
Pour corriger cette vulnérabilité, Esri recommande vivement à tous ses clients exécutant ArcGIS Enterprise d’installer le correctif Portal for ArcGIS Security 2020 Update 1 patch dans les meilleurs délais. Ce correctif est disponible pour ArcGIS Enterprise version 10.5 à 10.7.1. et peut être téléchargé depuis le site Web de support Esri.Ce patch inclut un correctif pour ce problème ainsi que d’autres correctifs de sécurité recommandés. ArcGIS Enterprise 10.8 inclut ces corrections et ne requiert pas de correctif.
Pour toute question relative à ce correctif et à la résolution de la vulnérabilité de sécurité, contactez le support technique Esri.
Obtenir de l’aide auprès des experts ArcGIS
Télécharger l’application Esri Support