Patches and updates

ArcGIS Security Update for Flexera CVE-2016-10395

Published: August 2, 2017

Résumé

La mise à jour de sécurité ArcGIS Security Update for Flexera CVE-2016-10395 est un correctif destiné à Windows, qui permet de corriger une faille liée au service de licence Flexnet.

Description

Esri® annonce la mise à jour de sécurité « ArcGIS Security Update for Flexera CVE-2016-10395 ». Ce correctif résout une faille pouvant être exploitée par des utilisateurs malveillants pour bénéficier de privilèges d’accès au système local supérieurs aux privilèges standard. Il sera appliqué à tous les produits ArcGIS affectés et est rétro-compatible avec ArcGIS version 10.1. Il traite plus spécifiquement les problèmes répertoriés ci-dessous sous Problèmes résolus par ce correctif.

Remarque : les versions de Flexnet Publisher impactées sont déployées dans ArcGIS License Manager, ArcGIS Engine et ArcGIS Desktop de la version 10.1 à la version 10.5.1 (y compris ArcGIS Pro versions 1.2 à 2.0), ArcGIS Server et Portal for ArcGIS 10.5 et 10.5.1. Le problème concerne également Esri CityEngine 2015.2 à 2017.0.


Problèmes résolus par ce correctif


  • La faille CVE-2016-10395 identifiée dans FlexNet Publisher versions 11.14.1.0 et précédentes peut être exploitée par des utilisateurs malveillants pour bénéficier de privilèges d’accès au système local supérieurs aux privilèges standard.

  • Un dépassement de tampon en lecture (CWE-125) dans le service de licence Windows FlexNet Publisher pourrait théoriquement être utilisé pour modifier le flux d’exécution du programme.
  • L’exploitation de cette faille peut permettre l’exécution de code arbitraire avec des privilèges SYSTEM.
  • Cette vulnérabilité n’est présente que dans le service de licence Flexnet Publisher. Les autres composants Flexnet Publisher tels que LMGRD et LMADMIN ne sont pas affectés.

Installation du correctif sous Windows

Remarque importante :


Ce correctif doit être installé seulement une fois sur chaque ordinateur, même si plusieurs produits y sont installés.

Procédure d’installation :


Le programme d’installation détecte et met automatiquement à niveau le service de licence Flexnet Publisher. Avant de lancer la mise à niveau, vous devez enregistrer votre travail et quitter tous les programmes ArcGIS. Vous pouvez redémarrer les applications une fois la mise à niveau effectuée.

  1. Téléchargez le fichier dans un emplacement différent du répertoire d’installation d’ArcGIS.

  2. Service de licence Flexnet Publisher Somme de contrôle (Md5)
       
    64 bits ArcGISFlexCVEx64.exe 3E364DE4923FC78E09EAA55C866BD7F4
    ArcGIS Pro 1.2 à 2.0
    ArcGIS Server 10.5 et 10.5.1
    Portal for ArcGIS 10.5 et 10.5.1
    Esri CityEngine 2015.2 à 2017.0, 64 bits    		  
       
    32bits ArcGISFlexCVEx86.exe BB95668FEE6733B8EF22E921C69A021D
    ArcGIS Desktop 10.1 à 10.5.1
    ArcGIS Engine 10.1 à 10.5.1
    ArcGIS License Manager 10.1 à 10.5.1
    Esri CityEngine 2015.2 à 2017.0, 32 bits    		  

  3. Vérifiez que vous avez accès en écriture au répertoire d’installation d’ArcGIS.

  5. Double-cliquez sur pour lancer l’installation.


Mises à jour du correctif

Consultez régulièrement la page sur les correctifs et Service Packs pour vous informer sur les correctifs supplémentaires disponibles. De nouvelles informations concernant ce correctif y seront publiées.

16 août 2017 : Indication des versions de Flexnet Publisher impactées.

Obtenir de l’aide

Aux États-Unis, contactez le support technique d’Esri au 1-888-377-4575 si vous rencontrez des difficultés pour installer ce correctif. Dans les autres pays, contactez votre distributeur de logiciels Esri.


Download ID:7521

Get help from ArcGIS experts

Contact technical support

Download the Esri Support App

Go to download options