français

Portal for ArcGIS Security 2018 Update 1 Patch

Résumé

Ce correctif de sécurité corrige plusieurs failles de sécurité détectées dans Portal for ArcGIS. Esri recommande à tous les clients utilisant Portal for ArcGIS 10.5.1, 10.4.1 et 10.3.1 d’appliquer ce correctif.

Description

Esri® annonce Portal for ArcGIS Security 2018 Update 1 Patch. Esri recommande à tous les clients utilisant Portal for ArcGIS 10.5.1, 10.4.1 et 10.3.1 d’appliquer ce correctif. Ce correctif traite en particulier des problèmes énuméré sous Issues Addressed with this patch (Problèmes résolus avec ce correctif). Ce correctif de sécurité cumulatif comprend plusieurs corrections sans rapport avec la sécurité, provenant d’un correctif antérieur, également répertoriées ci-après, sous Problèmes résolus par ce correctif. Il traite plus spécifiquement les problèmes indiqués ci-après, sous Problèmes résolus par ce correctif.


Problèmes résolus par ce correctif


  • BUG-000110291 - Portal for ArcGIS ne doit pas analyser les balises d’entité.
  • BUG-000110290 - Suppression des entrées d’enregistrement non valides de la base de données interne Portal for ArcGIS.
  • BUG-000108753 - L’activation de l’authentification au niveau du portail et de la création automatique de comptes dans la configuration Portal for ArcGIS a pour effet de créer des comptes qui dépassent le nombre de licences disponibles.
  • BUG-000108155 - Des requêtes generateToken illimitées sont déclenchées dans Map Viewer en cas d’expiration d’un jeton pour un portail configuré avec Integrated Windows Authentication (IWA) et fédéré avec ArcGIS Server.
  • BUG-000107440 - Portal for ArcGIS désactive l’accès au portail administrateur lorsque le nom réel de la machine ne figure pas sur le certificat.
Pour éviter les conflits, la version 10.5.1 résout également les problèmes suivants :
  • BUG-000109517 - Dans la version 10.5.1 de Portal for ArcGIS Map Viewer, le volet Create Labels (Créer des étiquettes) ne fonctionne pas pour les services de carte publiés à partir d’une carte avec le paramètre « Allow assignment of unique numeric IDs for map service publishing (Autoriser l’attribution d’ID numériques uniques pour la publication des services de carte) » indiqué.
  • BUG-000107814 - La création d’étiquettes ne fonctionne pas dans Portal for ArcGIS 10.5.1 pour les services de carte de ArcGIS Server 10.5.1.
  • BUG-000107440 - Portal for ArcGIS désactive l’accès au portail administrateur lorsque le nom réel de la machine ne figure pas sur le certificat.
  • BUG-000107004 - Un message d’erreur est renvoyé lorsque le service de géotraitement Extract Data Task (Tâche Exporter les données) est exécuté dans Web AppBuilder for ArcGIS pour Portal for ArcGIS 10.5.1 dans Internet Explorer.
  • BUG-000106909 -Le filtrage d’un service de cartographie ne filtre pas la table attributaire dans la carte web.
  • BUG-000106303 - Portal for ArcGIS ne respecte pas complètement le paramètre « domainControllerAddress » dans la configuration de la sécurité.
  • BUG-000106874 - Les pièces jointes ne sont pas préservées dans la fenêtres contextuelles des cartes Web lors de l’utilisation de recherche par couche de fonctionnalité.
  • BUG-000104949 - Les fonds de carte suivant le système de coordonnées WGS84 ne sont pas représentés dans la section Item Details (Détails des éléments) de la boîte de dialogue Set Extent (Définir l’étendue).
Pour éviter les conflits, la version 10.4.1 résout également les problèmes suivants :
  • BUG-000103731 - Dans un déploiement Portal haute disponibilité, l’état « Create New Site » (Créer un site) du nœud principal est rétabli s’il perd sa connexion avec le répertoire de contenu.
  • BUG-000104116 - Lors de l’ajout de membres à Portal for ArcGIS à l’aide d’identifiants de connexion d’entreprise, les utilisateurs dont le nom comporte moins de six caractères ne sont pas ajoutés même si aucune limite de ce type n’existe dans Portal for ArcGIS.
  • BUG-000104718 - Les tuiles d’une couche de tuiles hébergée provenant de ArcGIS Online ne sont pas visibles dans Portal for ArcGIS Map Viewer si la couche de tuiles est ajoutée en tant qu’élément avec des identifiants de connexion stockés.
  • BUG-000103700 - La page de connexion à Portal s’affiche en anglais, et non dans la langue par défaut, lorsque la case « Allow anonymous access to your portal (Autoriser l’accès anonyme à votre portail) » n’est pas cochée.
  • BUG-000102927 - En cas de lenteur de l’affichage d’une couche dans Map Viewer, le message signalant l’absence de réponse de la couche ne disparaît pas automatiquement lorsqu’elle finit par s’afficher.
  • BUG-000102793 - Les structures de groupe Active Directory volumineuses posent des problèmes de latence avec Portal for ArcGIS.
  • BUG-000100424 - Le widget Geoprocessing (Géotraitement) de Web AppBuilder for ArcGIS ne parvient pas à afficher la table en sortie lorsque le service de géotraitement est publié avec le paramètre « View result with a map service (Visionner le résultat avec un service de carte) ».
  • BUG-000100420 - La case correspondant aux couches dans le widget Layer List (Liste des couches) ne fonctionne pas une fois l’application actualisée ou relancée pour les couches d’entités de services de carte, lorsque le groupe de couches est décoché et les sous-couches sont cochées.
  • BUG-000099447 - Impossible de charger des fichiers dans l’application d’accueil de Portal après la mise à jour du navigateur vers Firefox 49 ou Chrome 54.
  • BUG-000098559 - Redirection non validée dans Portal for ArcGIS.
  • BUG-000098482 - Problème d’exécution de scripts de site à site (XSS) dans Portal for ArcGIS.
  • BUG-000098148 - L’actualisation de l’appartenance pour des utilisateurs et groupes d’entreprise ne respecte pas l’appartenance à un groupe imbriqué dans des groupes universels.
  • BUG-000098118 - Portal for ArcGIS présente des informations internes.
  • BUG-000098025 - Contournement de la règle de redirection des URL dans Portal for ArcGIS.
  • BUG-000097777 - Prise en charge des identifiants de connexion SAML à Portal for ArcGIS lorsqu’un proxy inverse est défini à l’aide de la propriété WebContextURL.
  • BUG-000096571 - Absence de l’attribut sécurisé dans un cookie dans Portal for ArcGIS.
  • BUG-000096570 - L’exécution de scripts de site à site (XSS) par réflexion est possible dans Portal for ArcGIS.
  • BUG-000096161 - L’erreur « unable to refresh item » (impossible d’actualiser l’élément) est renvoyée lors d’une analyse réalisée à l’aide des outils d’analyse spatiale dans Portal for ArcGIS Map Viewer. Cette erreur se produit lorsque ArcGIS Web Adaptor (ou un proxy inverse) est installé sur une machine différente de celle sur laquelle l’instance ArcGIS Server d’hébergement est installée.
  • BUG-000094537 - Les utilisateurs Active Directory qui appartiennent à un groupe d’entreprise portant le même nom qu’un groupe d’un domaine différent ont accès à Portal for ArcGIS 10.4 même s’ils n’appartiennent pas au groupe.
  • BUG-000094523 - Les utilisateurs inter-domaines ne peuvent pas voir les groupes Enterprise dont ils sont membres au sein de Portal for ArcGIS 10.4.
  • BUG-000091316 - Certaines opérations de chargement Portal ne valident pas le type de fichier correctement.
  • ENH-000092759 - Prise en charge des noms d’utilisateur d’entreprise comportant au moins 3 caractères.
  • NIM104313 - La déconnexion d’un utilisateur d’entreprise dans Portal for ArcGIS n’est pas propagée au fournisseur d’identités SAML correspondant.
Pour éviter les conflits, la version 10.3.1 résout également les problèmes suivants :
  • BUG-000114325 - De nombreuses pages dans Portal for ArcGIS 10.3.x et 10.4.x ne s’affichent pas correctement après la mise à jour vers Chrome 67.
  • BUG-000101456 - Une application Web AppBuilder for ArcGIS hébergée sur un serveur web autre que la machine Portal for ArcGIS ne parvient pas à afficher les couches d’entités au bout de 30 minutes d’inactivité lorsque Portal for ArcGIS est sécurisé avec l’authentification Windows intégrée (IWA).
  • BUG-000099447 - Impossible de charger des fichiers dans l’application d’accueil de Portal après la mise à jour du navigateur vers Firefox 49 ou Chrome 54.
  • BUG-000098559 - Redirection non validée dans Portal for ArcGIS.
  • BUG-000098482 - Problème d’exécution de scripts de site à site (XSS) dans Portal for ArcGIS.
  • BUG-000098118 - Portal for ArcGIS présente des informations internes.
  • BUG-000098025 - Contournement de la règle de redirection des URL dans Portal for ArcGIS.
  • BUG-000096889 - ArcGIS Server n’est pas en mesure de communiquer avec Portal for ArcGIS lorsque l’adresse IP du portail se résout en deux noms de domaine différents entièrement qualifiés.
  • BUG-000097640 - Le dijit BasemapGallery envoie une demande d’exportation d’image au lieu de demander des tuiles lorsqu’il est utilisé avec un service d’imagerie mis en cache en tant que fond de carte.
  • BUG-000096571 - Absence de l’attribut sécurisé dans un cookie dans Portal for ArcGIS.
  • BUG-000096570 - L’exécution de scripts de site à site (XSS) par réflexion est possible dans Portal for ArcGIS.
  • BUG-000094105 - L’opération generatetoken du portail ne parvient pas à rejeter les demandes POST dont le paramètre de requête contient le nom d’utilisateur ou le mot de passe.
  • BUG-000092447 - Vulnérabilité de Tomcat CVE-2014-0099 - Attaque par dépassement sur les entiers.
  • BUG-000092445 - Faille Tomcat, « CVE-2014-0230 - Denial-of-service attack via thread consumption » ( Attaque par déni de service via la consommation de threads).
  • BUG-000091354 - Le portail ne parvient pas à rafraîchir l’adhésion pour les utilisateurs en dehors du domaine dans lequel réside le serveur du Portail.
  • BUG-000091316 - Certaines opérations de chargement Portal ne valident pas le type de fichier correctement.
  • BUG-000090845 - Restriction de l’accès au port d’arrêt interne Tomcat.
  • BUG-000090552 - Lors de la modification des paramètres de l’URL d’un élément dans Portal for ArcGIS 10.3.1, l’URL de l’élément ne sauvegarde pas et retourne à l’original. (Linux uniquement)
  • BUG-000090024 - Impossibilité de configurer des fenêtres contextuelles pour les couches d’entités du service de cartographie avec un identifiant de couche unique dans Portal for ArcGIS.
  • BUG-000088826 - Arès la mise à niveau à partir de 10.3 ou version précédente, les mots de passe pour les comptes portails intégrés dans Portal for ArcGIS ne peuvent pas être modifiés par l’utilisateur.
  • BUG-000088682 - Lorsque le portail est configuré pour être SSL Only, les URL Web AppBuilder sont sauvegardées comme HTTP plutôt que comme HTTPS.
  • BUG-000088663 - Lorsqu’un service WMTS (Web Map Tile Service) utilisant WGS84 depuis un serveur WMTS autre que ArcGIS for Server WMTS est employé en tant que fond de carte dans Portal for ArcGIS, les résultats du géocodage du service de géocodage mondial apparaissent à un emplacement incorrect.
  • BUG-000088505 - La configuration fortement disponible du portail ne doit pas être réinitialisée au niveau du portail autonome si le fichier de contenu partagé n’est pas disponible.
  • BUG-000086481 - Des géométries incorrectes sont affichées lors de la reprojection d’un service hébergé dans la visionneuse de carte.
  • BUG-000085589 - Impossibilité d’afficher les couches de cartes ajoutées directement au Portal Web Map lorsque Portal et ArcGIS Server sont tous deux configurés pour utiliser Integrated Windows Authentication (IWA) et que les deux Web Adaptors sont déployés sur le même serveur.
  • BUG-000085482- Une défaillance survient lorsque le paramètre supportsPagination est ignoré lors de la recherche d’une couche d’entité dans Portal for ArcGIS 10.3.
  • BUG-000084180 - Dans Portal for ArcGIS lors de la modification du profil d’un utilisateur, les champs de type texte Prénom et Nom apparaissent toujours vide sous la page Edit My Profile (Modifier mon profil).

Installation du correctif sous Windows


Procédure d’installation :


Portal for ArcGIS 10.5.1, 10.4.1 ou 10.3.1 doit être installé avant ce correctif.

  1. Téléchargez le fichier approprié dans un emplacement différent du répertoire d’installation de ArcGIS.

  2. Portal for ArcGIS 10.5.1   Somme de contrôle (Md5)
         
      ArcGIS-1051-PFA-SEC2018U1-PatchB.msp 140862ed919e24755ea3d5c581416f38
         
    Portal for ArcGIS 10.4.1   Somme de contrôle (Md5)
         
      ArcGIS-1041-PFA-SEC2018U1-Patch.msp A31A87DBED3F403A492C83DFEE4B8F33
         
    Portal for ArcGIS 10.3.1   Somme de contrôle (Md5)
         
      ArcGIS-1031-PFA-SEC2018U1-Patch.msp 0DAB42D5E508A26270003A637D274F45
         

  3. Vérifiez que vous avez accès en écriture au répertoire d’installation d’ArcGIS.

  4. Double-cliquez sur ArcGIS--- SEC2018U1-Patch.msp pour lancer l’installation.

    REMARQUE : Si, lorsque vous double-cliquez sur le fichier MSP, l’installation ne démarre pas, vous pouvez la lancer manuellement à l’aide de la commande suivante :

    msiexec.exe /p [emplacement du correctif]\ArcGIS---SEC2018U1-Patch.msp


Installation du correctif sous Linux


Procédure d’installation :


Effectuez la procédure d’installation suivante en tant que propriétaire de l’installation ArcGIS. Le propriétaire de l’installation est le propriétaire du dossier arcgis.

Portal for ArcGIS 10.5.1, 10.4.1 ou 10.3.1 doit être installé avant ce correctif.

  1. Téléchargez le fichier approprié dans un emplacement différent du répertoire d’installation de ArcGIS.


    Portal for ArcGIS 10.5.1   Somme de contrôle (Md5)
         
      ArcGIS-1051-PFA-SEC2018U1-PatchB-linux.tar ad75a7f67a86a9edd007318cdd2d2d6d
         
    Portal for ArcGIS 10.4.1   Somme de contrôle (Md5)
         
      ArcGIS-1041-PFA-SEC2018U1-Patch-linux.tar 0E96FE2B2A106B2D772212EE9C1D64D7
         
    Portal for ArcGIS 10.3.1   Somme de contrôle (Md5)
         
      ArcGIS-1031-PFA-SEC2018U1-Patch-linux.tar BAD34DE1152026A68066DFF7F6C1129D
         

  2. Vérifiez que vous disposez d’un accès en écriture sur l’emplacement d’installation de ArcGIS et que personne n’utilise ArcGIS.

  3. Extrayez le fichier tar spécifié en saisissant ce qui suit :

    % tar -xvf ArcGIS--PFA-SEC2018U1-Patch-linux.tar

  4. Démarrez l’installation en saisissant ce qui suit :

    % ./applypatch

    Cette opération lance la boîte de dialogue de la procédure d’installation pilotée par menu. Les sélections par défaut sont indiquées entre parenthèses ( ). Pour quitter la procédure d'installation, tapez sur « q » à tout moment.

Désinstallation du correctif sous Windows


    Pour désinstaller ce correctif sous Windows, ouvrez le Panneau de configuration Windows et accédez aux programmes installés. Vérifiez que l’option Afficher les mises à jour installées (dans la partie supérieure gauche de la boîte de dialogue Programmes et fonctionnalités) est active. Sélectionnez le nom du correctif dans la liste des programmes et cliquez sur Désinstaller pour le supprimer.

Installation du correctif sous Linux


    Pour supprimer ce correctif, accédez au répertoire /tmp et exécutez le script suivant en tant que propriétaire de l’installation ArcGIS :

    ./patchremove

    Remarque : Vous ne pouvez supprimer que le dernier correctif installé.

Mises à jour du correctif

Consultez régulièrement la page sur les correctifs et Service Packs pour vous informer sur les correctifs supplémentaires disponibles. De nouvelles informations concernant ce correctif y seront publiées.

15 février 2018 : Portal for ArcGIS Security 2018 Update 1 Patch pour les versions 10.4.1 et 10.3.1 est maintenant disponible au téléchargement.

28 février 2018 : Le programme d’installation de Portal for ArcGIS Security 2018 Update 1 Patch 10.5.1 a été désactivé pour permettre le diagnostic d’un problème.

14 mars 2018 : Les programmes d’installation de Portal for ArcGIS Security 2018 Update 1 Patch 10.5.1 sont maintenant disponibles et s’installent en plus de la version précédemment publiée.

Remarque importante : La version d’origine du correctif pour la version 10.5.1 présentait un problème pouvant générer des échecs d’authentification des utilisateurs dans le cadre de déploiements faisant appel à l’authentification au niveau du portail avec des utilisateurs d’entreprise. Le correctif 10.5.1 mis à jour résout ce problème et s’installe en plus de la version précédente du correctif. Même si vous n’utilisez pas d’utilisateurs d’entreprise avec une authentification au niveau du portail, Esri recommande d’installer cette version la plus récente du correctif par souci d’exactitude.

Procédure d’identification des produits ArcGIS installés

Pour savoir quels produits ArcGIS sont installés, sélectionnez la version de l’utilitaire PatchFinder correspondant à votre environnement, puis exécutez-le à partir de l’ordinateur local. PatchFinder répertorie tous les produits et les correctifs installés sur votre machine locale.

Obtenir de l’aide

Aux États-Unis, contactez le support technique d’Esri au 1-888-377-4575 si vous rencontrez des difficultés pour installer ce correctif. Dans les autres pays, contactez votre distributeur de logiciels Esri.