Patches and updates

Portal for ArcGIS Privilege Escalation Security Patch

Published: November 27, 2018

Résumé

Ce correctif de sécurité corrige une faille de sécurité identifiée dans ArcGIS Server. Esri recommande à tous ses clients qui utilisent Portal for ArcGIS 10.6, 10.5, 10.4 et 10.3 d’appliquer ce correctif.

Description

Esri® publie le correctif Portal for ArcGIS Privilege Escalation Security Patch. Esri recommande à tous ses clients qui utilisent Portal for ArcGIS 10.6, 10.5, 10.4 et 10.3 d’appliquer ce correctif. Ce correctif traite plus spécifiquement les problèmes indiqués ci-après, sous Problèmes résolus par ce correctif. Ce correctif de sécurité cumulatif comprend plusieurs corrections liées ou non à la sécurité, provenant de correctifs antérieurs, également indiquées ci-après sous Problèmes résolus par ce correctif.

Les clients qui utilisent les versions 10.6.1, 10.5.1, 10.4.1 ou 10.3.1 doivent télécharger le correctif Portal for ArcGIS Security Update 3 Patch qui comprend cette correction.


Problèmes résolus par ce correctif


  • BUG-000117564 - Vulnérabilité d’élévation des privilèges
Pour éviter les conflits, la version 10.6 résout également les problèmes suivants :
  • BUG-000114738 - Internet Explorer 11 n’encode pas correctement les espaces dans certaines URL de demande de Portal, ce qui a pour effet de faire échouer les demandes dans Portal Linux 10.6.
Pour éviter les conflits, la version 10.5 résout également les problèmes suivants :
  • BUG-000112314 - Impossible d’imprimer les cartes Web dans le Map Viewer lorsque le fond de carte par défaut est un service WMTS (Web Map Tile Service) qui ne relève pas du système de coordonnées Web Mercator Auxiliary Sphere.
  • BUG-000111550 - Problème d’exécution de scripts intersites (XSS) dans Portal for ArcGIS.
  • BUG-000108753 - L’activation de l’authentification au niveau du portail et de la création automatique de comptes dans la configuration Portal for ArcGIS a pour effet de créer des comptes qui dépassent le nombre de licences disponibles.
  • BUG-000104521 - Les performances de Portal for ArcGIS sont affectées par l’augmentation du nombre de membres.
  • BUG-000103165 - Impossibilité de partager avec les utilisateurs dans les configurations de groupes Active Directory (AD) imbriqués de Portal sur plusieurs domaines.
  • BUG-000102793 - Les structures de groupe Active Directory volumineuses posent des problèmes de latence avec Portal for ArcGIS.
Pour éviter les conflits, la version 10.4 résout également les problèmes suivants :
  • BUG-000114325 - Plusieurs pages dans Portal for ArcGIS 10.3.x et 10.4.x ne s’affichent pas correctement après la mise à jour vers Chrome 67.
  • BUG-000099447 - Impossible de charger des fichiers ou de créer des groupes dans l’application d’accueil de Portal après la mise à jour du navigateur vers Firefox 49, Chrome 54 ou Safari 10.
  • BUG-000098559 – Redirection non validée dans Portal for ArcGIS.
  • BUG-000098482 - Problème d’exécution de scripts intersites (XSS) dans Portal for ArcGIS.
  • BUG-000098118 - Portal for ArcGIS affiche des informations internes.
  • BUG-000098025 - Contournement de la règle de redirection des URL dans Portal for ArcGIS.
  • BUG-000096571 - Absence de l’attribut sécurisé dans un cookie dans Portal for ArcGIS.
  • BUG-000096570 - L’exécution de scripts intersites (XSS) par réflexion est possible dans Portal for ArcGIS.
  • BUG-000094214 - Impossibilité d’importer des droits d’utilisation ArcGIS Pro vers Portal for ArcGIS 10.4.
  • BUG-000091316 - Certaines opérations de chargement Portal ne valident pas le type de fichier correctement.
Pour éviter les conflits, la version 10.3 résout également les problèmes suivants :
  • BUG-000114325 - Plusieurs pages dans Portal for ArcGIS 10.3.x et 10.4.x ne s’affichent pas correctement après la mise à jour vers Chrome 67.
  • BUG-000099447 - Impossible de charger des fichiers ou de créer des groupes dans l’application d’accueil de Portal après la mise à jour du navigateur vers Firefox 49, Chrome 54 ou Safari 10.
  • BUG-000091176 - Une page vierge apparait plutôt que le message d’erreur « You do not have permission to access this resource » (Vous n’êtes pas autorisé à accéder à cette ressource) lors de l’accès à une application créée en utilisant Web AppBuilder for ArcGIS hébergé dans Portal for ArcGIS lorsque les utilisateurs ne disposent pas d’autorisations pour l’application.
  • BUG-000085716 - Les couches qui sont décochées dans la carte Web Portal for ArcGIS, puis cochées une fois que la carte est chargée dans Web AppBuilder for ArcGIS, ne s’affichent pas dans une fenêtre contextuelle.
  • BUG-000085646 - Map Viewer : la couche temporelle affiche l’ensemble des entités lors du passage à un fond de carte personnalisé WMTS.
  • BUG-000085644 - Map Viewer : le fond de carte personnalisé avec deux couches de tuiles ne restitue pas toutes les couches.
  • BUG-000084417 - Le portail dans une configuration hautement disponible ne fonctionne pas lorsque l’une des deux machines de portail repart après un échec.
  • BUG-000083536 - Map Viewer : avec un fond de carte WMTS multicouche, l’une des couches de fond de carte est parfois supprimée de la visionneuse.
  • BUG-000083190 - Lors d’une autorisation avec une licence perpétuelle, l’application d’accueil Portal for ArcGIS ne s’ouvre pas.

Installation du correctif sous Windows


Procédure d’installation :


Portal for ArcGIS 10.6, 10.5, 10.4 ou 10.3 doit être installé avant l’installation du correctif.

  1. Téléchargez le fichier approprié à un emplacement différent du répertoire d’installation ArcGIS.

  2. Portal for ArcGIS   Somme de contrôle (Md5)
         
        10.6 ArcGIS-106-PFA-PES-Patch.msp 35DF6626DDD63F05F5213CE159B00985
         
        10.5 ArcGIS-105-PFA-PES-Patch.msp 97A4BD465B183B80B5A835AD82B49D2D
         
        10.4 ArcGIS-104-PFA-PES-Patch.msp FD383F606308A22346098A9B954D1CA2
         
        10.3 ArcGIS-103-PFA-PES-Patch.msp 44B900EEEBB42B65EBFA500194560573
         

  3. Vérifiez que vous avez accès en écriture au répertoire d’installation ArcGIS.

  4. Double-cliquez sur ArcGIS--PFA-PES-Patch.msp pour lancer l’installation.

    REMARQUE : si l’installation ne démarre pas lorsque vous double-cliquez sur le fichier MSP, vous pouvez la lancer manuellement à l’aide de la commande suivante :

    msiexec.exe /p [emplacement du correctif]\ArcGIS--PFA-PES-Patch.msp


Installation du correctif sous Linux


Procédure d’installation :


Effectuez la procédure d’installation suivante en tant que propriétaire de l’installation ArcGIS. Le propriétaire de l’installation est le propriétaire du dossier ArcGIS.

Portal for ArcGIS 10.6, 10.5, 10.4 ou 10.3 doit être installé avant l’installation du correctif.

  1. Téléchargez le fichier approprié à un emplacement différent du répertoire d’installation ArcGIS.


    Portal for ArcGIS   Somme de contrôle (Md5)
         
        10.6 ArcGIS-106-PFA-PES-Patch-linux.tar D5C056D4BEED589BC8429DB0536814FA
         
        10.5 ArcGIS-105-PFA-PES-Patch-linux.tar 07457DC805301C39F52D59EC22B21C9F
         
        10.4 ArcGIS-104-PFA-PES-Patch-linux.tar A06A17B19BEC69263A0E90B914F50E70
         
        10.3 ArcGIS-103-PFA-PES-Patch-linux.tar FDB99611AA8E47768C1AA511048A4853
         

  2. Vérifiez que vous disposez d’un accès en écriture au répertoire d’installation ArcGIS et que personne n’utilise ArcGIS.

  3. Extrayez le fichier *.tar spécifié en saisissant ce qui suit :

    % tar -xvf ArcGIS--PFA-PES-Patch-linux.tar

  4. Démarrez l’installation en saisissant ce qui suit :

    % ./applypatch

    Cette opération lance la boîte de dialogue de la procédure d’installation pilotée par menu. Les sélections par défaut sont notées entre parenthèses ( ). Pour quitter la procédure d’installation, appuyez sur la touche « q » à tout moment.

Désinstallation du correctif sous Windows


  • Pour désinstaller ce correctif sous Windows, ouvrez le Panneau de configuration Windows et accédez aux programmes installés. Vérifiez que l’option Afficher les mises à jour installées (dans la partie supérieure gauche de la boîte de dialogue Programmes et fonctionnalités) est active. Sélectionnez le nom du correctif dans la liste des programmes et cliquez sur Désinstaller pour le supprimer.

Désinstallation du correctif sous Linux


La désinstallation de ce correctif est disponible uniquement avec les versions 10.6 et ultérieures. Pour supprimer ce correctif, accédez au répertoire /tmp et exécutez le script suivant en tant que propriétaire de l’installation ArcGIS :

./patchremove

Remarque : vous ne pouvez supprimer que le dernier correctif installé.

Mises à jour du correctif

Consultez régulièrement la page sur les correctifs et Service Packs pour vous informer sur les correctifs supplémentaires disponibles. De nouvelles informations concernant ce correctif y seront publiées.

Procédure d’identification des produits ArcGIS installés

Pour savoir quels produits ArcGIS sont installés, sélectionnez la version de l’utilitaire PatchFinder correspondant à votre environnement, puis exécutez-le à partir de l’ordinateur local. PatchFinder répertorie tous les produits et les correctifs installés sur votre machine locale.

Obtenir de l’aide

Aux États-Unis, contactez le support technique d’Esri au 1-888-377-4575 si vous rencontrez des difficultés pour installer ce correctif. Dans les autres pays, contactez votre distributeur de logiciels Esri.



Download ID:7668

Get help from ArcGIS experts

Contact technical support

Download the Esri Support App

Go to download options