français

Mise à niveau 2 du correctif Portal for ArcGIS Security 2018

Résumé

Ce correctif de sécurité résout les nombreuses vulnérabilités de sécurité trouvées dans Portal for ArcGIS. Esri recommande à tous les clients utilisant Portal for ArcGIS 10.5.1, 10.4.1 et 10.3.1 d’appliquer ce correctif.

Description

Esri® annonce le correctif Portal for ArcGIS Security 2018 Update 2. Esri recommande à tous les clients utilisant Portal for ArcGIS 10.5.1, 10.4.1 et 10.3.1 d’appliquer ce correctif. Ce correctif traite plus spécifiquement les problèmes répertoriés ci-dessous sous « Problèmes résolus par ce correctif ». Ce correctif de sécurité est cumulatif et comprend plusieurs corrections non liées à la sécurité depuis un correctif précédent qui sont aussi énumérés sous Issues Addressed with this Patch (Problèmes résolus par ce correctif). Il traite plus spécifiquement les problèmes répertoriés ci-dessous sous Problèmes résolus par ce correctif.


Problèmes résolus par ce correctif


  • BUG-000114533 - Si la restauration ou la mise à jour du portail échoue, celui-ci devra revenir à son état antérieur automatiquement.
  • BUG-000114489 - Vulnérabilité incorrecte du contrôle d’accès par proxy.
  • BUG-000114488 - Faible stockage des vulnérabilités d’informations sensibles dans Portal for ArcGIS. (Portal for ArcGIS 10.5.1 uniquement)
  • BUG-000112749 - Vulnérabilité d’écriture de scripts intersites (XSS) reflétée dans Portal for ArcGIS.
  • BUG-000112358 - Vulnérabilité d’écriture de scripts intersites (XSS) reflétée dans Portal for ArcGIS.
  • BUG-000112360 - Vulnérabilité d’écriture de scripts intersites (XSS) stockée dans Portal for ArcGIS. (Portal for ArcGIS 10.5.1 uniquement)
  • BUG-000112357 - Redirection non validé dans Portal for ArcGIS.
  • BUG-000112161 - Vulnérabilité d’écriture de scripts intersites (XSS) reflétée dans Portal for ArcGIS.

Pour éviter les conflits, la version 10.5.1 résout aussi :
  • BUG-000113157 - Le site d’importation Portal for ArcGIS échoue si la sauvegarde contient des fichiers Thumbs.db.
  • BUG-000112088 - L’opération Show Table (Afficher la table) dans la carte Web Portal for ArcGIS 10.5.1 ne retourne pas l’attribut du service d’image.
  • BUG-000112026 - Après avoir appliqué le correctif Portal for ArcGIS Security 2018 Mise à jour 1, lors de l’inscription à l’application dans Portal for ArcGIS Home, si un utilisateur de domaine saisit un mot de passe incorrect, tous les utilisateurs de domaine sont alors verrouillé hors de Portal for ArcGIS.
  • BUG-000111942 - La symbologie n’est pas conservée sur une couche d’entités partagées lorsqu’un filtre est appliqué et que la couche est accédé par un autre utilisateur pour créer sa propre carte Web.
  • BUG-000111090 - Sélectionner un widget entraîne la perte de la sélection lors de l’utilisation de la fonctionnalité Create Layer (Créer une couche) sur une couche ajoutée via le widget Add Data (Ajouter des données) dans Web AppBuilder in Portal for ArcGIS.
  • BUG-000111077 - Erreur d’exécution : affectation de valeur illégale à une entité lors de la modification d’étiquettes dans une carte Web de portail avec la visibilité des couches désactivée.
  • BUG-000111058 - Arcade Editor fait des appels au domaine "fast.fonts.net", ce qui entraîne des retards significatifs dans les réseaux déconnectés.
  • BUG-000110632 - La carte et les services d’entités basés sur GeoEvent qui sont connexes ne doivent pas être associés lorsque les deux sont ajoutés à la table de contenu de la visionneuse de carte.
  • BUG-000110542 - Dans Web AppBuilder for ArcGIS, l’option Create Layer (Créer un couche) n’est pas activée si une seule entité est sélectionnée.
  • BUG-000110291 - Portal for ArcGIS ne doit pas analyser les balises d’entités.
  • BUG-000110290 - Supprimer les dossiers d’entrée invalides de la base de données interne Portal for ArcGIS.
  • BUG-000109870 - Dans la visionneuse de cartes, les tuiles vectorielles ne respectent pas les paramètres d’échelle visibles lors de zoom arrière et de la distribution de polygone dans des zones non adjacentes.
  • BUG-000109517 - Dans la visionneuse de carte 10.5.1 Portal for ArcGIS, le panneau Create Labels (Créer des étiquettes) ne fonctionne pas pour les services de cartes publié à partir du document de carte avec le paramètre « Allow assignment of unique numeric IDs for map service publishing » (Autoriser l’affectation d’identifiants numériques uniques pour la publication de service de carte) spécifié.
  • BUG-000108753 - Portal for ArcGIS configuré avec l’authentification au niveau du portail et la création de compte automatique activé crée des comptes qui excède le nombre de licences disponibles.
  • BUG-000108155 - Les demandes infinies de génération de jetons sont déclenchées dans la visionneuse de carte pour un portail configuré avec Integrated Windows Authentication (IWA) (Authentification Windows intégrée) et fédéré avec ArcGIS Server.
  • BUG-000107814 - Create Labels (Création d’étiquette) ne fonctionne par dans Portal for ArcGIS 10.5.1 for ArcGIS Server 10.5.1 Map Services.
  • BUG-000107440 - Portal for ArcGIS désactive l’accès au portail administrateur lorsque le nom réel de la machine ne figure pas sur le certificat.
  • BUG-000107004 - Une message d’erreur est retourné lors de l’exécution du service de géotraitement Extract Data Task dans la Web AppBuilder for ArcGIS for Portal for ArcGIS 10.5.1 sous Internet Explorer.
  • BUG-000106917 - Portal for ArcGIS 10.5.1 Map Viewer ne charge pas le fond de carte Bing Roads quand HTTPS uniquement est activé en raison d’erreurs de non-appariement des certificats sur les tuiles requises.
  • BUG-000106909 -Le filtrage d’un service de cartographie ne filtre pas la table attributaire dans la carte Web.
  • BUG-000106874 - Les pièces jointes ne sont pas préservées dans la fenêtres contextuelles des cartes Web lors de l’utilisation de recherche par couche de fonctionnalité.
  • BUG-000106303 - Portal for ArcGIS ne respecte pas complètement le paramètre « domainControllerAddress » (Adresse du contrôleur de domaine) dans la confoguration de sécurité.
  • BUG-000105202 - Lors de l’accès à un service sécurisé dans le portail avec des informations d’identifications sauvegardées, la demande de jeton généré par proxy ne respecte pas les paramètres ProxyHost.
  • BUG-000104949 - Les fonds de cartes dans le systèmes de coordonnées WGS84 ne puise pas dans la boite de dialogue Item Details Set Extent (Détails de l’élément Étendue de l’ensemble).
  • BUG-000103846 - Portal for ArcGIS comporte une vulnérabilité d’information d’identification codé en dur.
Pour éviter les conflits, la version 10.4.1 résout aussi :
  • BUG-000114325 - De nombreuses pages dans Portal for ArcGIS 10.3.x et 10.4.x ne s’affiche pas correctement après la mise à jour vers Chrome 67.
  • BUG-000110291 - Portal for ArcGIS ne doit pas analyser les balises d’entités.
  • BUG-000110290 - Supprimer les dossiers d’entrée invalides de la base de données interne Portal for ArcGIS.
  • BUG-000108753 - Portal for ArcGIS configuré avec l’authentification au niveau du portail et la création de compte automatique activé crée des comptes qui excède le nombre de licences disponibles.
  • BUG-000108155 - Les demandes infinies de génération de jetons sont déclenchées dans la visionneuse de carte pour un portail configuré avec Integrated Windows Authentication (IWA) (Authentification Windows intégrée) et fédéré avec ArcGIS Server.
  • BUG-000104116 - Lors de l’ajout de membres à Portal for ArcGIS utilsant des connexions d’entreprise, les utilisateurs avec des noms d’utilisateurs de moins de six caractères ne sont pas ajoutés, même si une telle limite n’existe pas en réalité dans Portal for ArcGIS.
  • BUG-000104718 - Les tuiles pour une couche de tuiles hébergées depuis ArcGIS Online ne sont pas visibles dans la visionneuse de cartes Portal for ArcGIS si la couche de tuiles est ajoutée en tant qu’élément avec les informations d’identification archivées.
  • BUG-000103731 - Dans un déploiement de portail à forte disponibilité, le nœud primaire revient à l’état « Create New Site » (Créer un nouveau site) si le nœud primaire perd la connexion vers le répertoire de contenu.
  • BUG-000103700 - La page de connexion du portail s’affiche en anglais, plutôt que dans une langue par défaut, si « Allow anonymous access to your portal » (Autoriser un accès anonyme à votre portail) n’est pas coché.
  • BUG-000102927 - Lorsqu’une couche est lente à s’afficher dans la visionneuse de carte, le message indiquant que la couche ne répond pas, ne rejette pas automatiquement une fois que la couche se retire.
  • BUG-000102793 - Les structures de groupes Large Active Directory (Grand répertoire actif) entraîne des problèmes de latences avec Portal for ArcGIS.
  • BUG-000101562 - Impossibilité d’accéder à l’option "Edit Settings" (Modifie les paramètres) de Portal for ArcGIS lors de l’utilisation de l’adaptateur Web Java avec Apache Tomcat 7.0.73+ ou 8.0.39+.
  • BUG-000100420 - La case à cocher pour les couches dans le widget (Layer List) ne fonctionne pas après le rafraichissement ou le lancement de l’application à nouveau pour les couches d’entités de service de cartes lorsque la couche de groupe et les sous-couches sont cochées.
  • BUG-000100424 - Le widget de géotraitement Web AppBuilder for ArcGIS ne parvient pas à afficher la table de sortie quand le service de géotraitmeent est publié avec le paramètre « Voir le résultat avec un service de carte ».
  • BUG-000099447 - Impossibilité de charger les fichiers dans l’application d’accueil Portal après la mise à jour du navigateur vers Firefox 49 ou Chrome 54.
  • BUG-000098148 - Rafraîchir l’adhésion pour les utilisateurs et les groupes d’entreprises qui ne respectent pas l’adhésion de groupes imbriqués dans des groupes universels
  • BUG-000098559 – Redirection non validée dans Portal for ArcGIS.
  • BUG-000098482 - Problème de script intersite (XSS) dans Portal for ArcGIS.
  • BUG-000098118 - Portal for ArcGIS présente des informations internes.
  • BUG-000098025 - Contournement de la règle de redirection de l’URL dans Portal for ArcGIS.
  • BUG-000097777 - Prise en charge des identifiants de connexion SAML à Portal for ArcGIS lorsqu’un proxy inverse est défini à l’aide de la propriété WebContextURL.
  • BUG-000096571 - L’attribut sécurisé ne figure pas sur un cookie dans Portal for ArcGIS.
  • BUG-000096570 - Problème de script intersite (XSS) reflété possible dans Portal for ArcGIS.
  • BUG-000096161 - L’erreur "unable to refresh item" (impossible de rafraîchir l’élément) est renvoyé lors de l’analyse à l’aide d’outils d’analyse spatiale dans ArcGIS Online Map Viewer. Cette erreur se produit lorsque ArcGIS Web Adaptor (ou tout autre proxy inverse) se trouve sur une autre machine que le Hosting ArcGIS Server.
  • BUG-000094537- Les utilisateurs d’Active Directory qui font partie d’un groupe d’entreprise avec le même nom en tant que groupe avec un domaine différent bénéficient de l’accès au portail pour Portal ArcGIS 10.4 même s’ils n’appartiennent pas au groupe.
  • BUG-000094523 - Les utilisateurs de Cross Domain ne peuvent pas voir quels sont les groupes d’entreprises dont ils sont membres dans Portal for ArcGIS 10.4.
  • BUG-000091316 - Certaines opérations de chargement du portail ne valide par le type de fichier correctement
  • ENH-000092759 - Prise en charge des noms d’utilisateur d’entreprise d’une longueur minimale de 3 caractères.
  • NIM104313 - La déconnexion d’un utilisateur professionnel dans Portal for ArcGIS ne propage pas la déconnexion de l’utilisateur au fournisseru d’identité SAML.

Pour éviter les conflits, la version 10.3.1 résout aussi :
  • BUG-000114325 - De nombreuses pages dans Portal for ArcGIS 10.3.x et 10.4.x ne s’affiche pas correctement après la mise à jour vers Chrome 67.
  • BUG-000110291 - Portal for ArcGIS ne doit pas analyser les balises d’entités.
  • BUG-000110290 - Supprimer les dossiers d’entrée invalides de la base de données interne Portal for ArcGIS.
  • BUG-000108753 - Portal for ArcGIS configuré avec l’authentification au niveau du portail et la création de compte automatique activé crée des comptes qui excède le nombre de licences disponibles.
  • BUG-000108155 - Les demandes infinies de génération de jetons sont déclenchées dans la visionneuse de carte pour un portail configuré avec Integrated Windows Authentication (IWA) (Authentification Windows intégrée) et fédéré avec ArcGIS Server.
  • BUG-000101456 - Une application Web AppBuilder for ArcGIS hénergée sur un serveur Web autre que la machine Portal for ArcGIS ne parvient pas à afficher les couches d’entité après trente minutes de temps d’arrêt lorsque Portal for ArcGIS est sécurisé avec Integrated Windows Authentication (IWA) (Authentification intégrée Windows).
  • BUG-000099447 - Impossibilité de charger les fichiers dans l’application d’accueil Portal après la mise à jour du navigateur vers Firefox 49 ou Chrome 54.
  • BUG-000097640 - Le dijit BasemapGallery envoie une demande d’exportation d’image au lieu de demander des tuiles lors d’une utilisation d’un service d’image en cache en tant que fond de carte.
  • BUG-000098559 – Redirection non validée dans Portal for ArcGIS.
  • BUG-000098482 - Problème de script intersite (XSS) dans Portal for ArcGIS.
  • BUG-000098118 - Portal for ArcGIS présente des informations internes.
  • BUG-000098025 - Contournement de la règle de redirection de l’URL dans Portal for ArcGIS.
  • BUG-000096889 - ArcGIS Server n’est pas en mesure de communiquer avec Portal for ArcGIS lorsque l’adresse IP du portail se résout en deux noms de domaine différents entièrement qualifiés.
  • BUG-000096571 - L’attribut sécurisé ne figure pas sur un cookie dans Portal for ArcGIS.
  • BUG-000096570 - Problème de script intersite (XSS) reflété possible dans Portal for ArcGIS.
  • BUG-000094105 - L’opération Portal generateToken ne parvient pas à rejeter les demandes POST qui contiennent le nom d’utilisateur ou un mot de passe dans le paramètre de demande.
  • BUG-000092447 - Faille Tomcat CVE-2014-0099 - Attaque de dépassement entier.
  • BUG-000092445 - Faille Tomcat, "CVE-2014-0230 - Denial-of-service attack via thread consumption". ( Attaque par déni de service via la consommation de threads).
  • BUG-000091354 - Le portail ne parvient pas à rafraîchir l’adhésion pour les utilisateurs en dehors du domaine dans lequel réside le serveur du Portail.
  • BUG-000091316 - Certaines opérations de chargement du portail ne valide par le type de fichier correctement
  • BUG-000090845 - Accès restreint au port d’arrêt interne Tomcat.
  • BUG-000090552 - Lors de la modification des paramètres de l’URL d’un élément dans Portal for ArcGIS 10.3.1, l’URL de l’élément ne sauvegarde pas et retourne à l’original. (Linux uniquement)
  • BUG-000090024 - Impossibilité de configurer des fenêtres contextuelles pour les couches d’entités du service de cartographie avec un identifiant de couche unique dans Portal for ArcGIS.
  • BUG-000088826 - Après la mise à niveau à partir de 10.3 ou version précédente, les mots de passe pour les comptes portails intégrés dans Portal for ArcGIS ne peuvent pas être modifiés par l’utilisateur.
  • BUG-000088682 - Lorsque le portail est configuré pour être SSL Only, les URL Web AppBuilder sont sauvegardées comme HTTP plutôt que comme HTTPs.
  • BUG-000088663 - Lorsqu’un service Web Map Tile Service (WMTS) (Service de tuiles de cartes Web) utilisant WGS84 à partir d’un serveur non ArcGIS for Server WMTS est consommé en tant que fond de carte dans Portal for ArcGIS, le géocodage fait apparaitre le World Geocode Service (Service mondial de géocodage) au mauvais emplacement.
  • BUG-000088505 - La configuration fortement disponible du portail ne doit pas être réinitialisée en portail autonome si le dossier de contenu partagé n’est pas disponible.
  • BUG-000086481 - Des géométries incorrectes sont affichées lors de la reprojection d’un service hébergé dans la visionneuse de carte.
  • BUG-000085589 - Impossibilité d’afficher les couches de cartes ajoutées directement au Portal Web Map lorsque Portal et ArcGIS Server sont tous deux configurés pour utiliser Integrated Windows Authentication (IWA) et que les deux Web Adaptors sont déployés sur le même serveur.
  • BUG-000085482- Une défaillance survient lorsque le paramètre supportsPagination est ignoré lors de la recherche d’une couche d’entité dans Portal for ArcGIS 10.3.
  • BUG-000084180 - Dans Portal for ArcGIS lors de la modification du profil d’un utilisateur, les champs de type texte Prénom et Nom apparaissent toujours vide sous la page Edit My Profile (Modifier mon profil).

Installation du correctif sous Windows


Procédure d’installation :


Portal for ArcGIS doit être installé avant l’installation du correctif.

  1. Téléchargez le fichier approprié vers un emplacement autre que votre emplacement d’installation ArcGIS.

  2. Portal for ArcGIS 10.5.1   Somme de contrôle (Md5)
         
      ArcGIS-1051-PFA-SEC2018U2-Patch.msp D7AA6160DD402B33EB7C91B4E1D71743
         
    Portal for ArcGIS 10.4.1   Somme de contrôle (Md5)
         
      ArcGIS-1041-PFA-SEC2018U2-Patch.msp F598745C892422730B634F5A6FB30E16
         
    Portal for ArcGIS 10.3.1 Somme de contrôle (Md5)
     
      Bientôt disponible !
         

  3. Vérifiez que vous avez accès en écriture au répertoire d’installation d’ArcGIS.

  4. Double-cliquez sur ArcGIS--PFA-SEC2018U2-Patch.msp pour lancer l’installation.

    REMARQUE : si double-cliquer sur le fichier MSP ne lance pas l’installation, vous pouvez la lancer manuellement en utilisant la commande suivante :

    msiexec.exe /p [location of Patch]\ArcGIS--PFA-SEC2018U2-Patch.msp


Installation du correctif sous Linux


Procédure d’installation :


Effectuez les étapes d’installation suivantes en tant que propriétaire de ArcGIS Install. Le propriétaire de Install est le propriétaire du répertoire arcgis.

Portal for ArcGIS doit être installé avant l’installation du correctif.

  1. Téléchargez le fichier approprié vers un emplacement autre que votre emplacement d’installation ArcGIS.


    Portal for ArcGIS 10.5.1   Somme de contrôle (Md5)
         
      ArcGIS-1051-PFA-SEC2018U2-Patch-linux.tar 3D384912E34002408AA8E32458A7D79F
         
    Portal for ArcGIS 10.4.1   Somme de contrôle (Md5)
         
      ArcGIS-1041-PFA-SEC2018U2-Patch-linux.tar 61BFF8BEAC7047FADE59A97AC87D4BCA
         
    Portal for ArcGIS 10.3.1 Somme de contrôle (Md5)
     
      Bientôt disponible !  
         

  2. Vérifiez que vous avez accès en écriture au répertoire d’installation de ArcGIS et que personne n’utilise ArcGIS.

  3. Extrayez le fichier tar spécifié en saisissant ce qui suit :

    % tar -xvf ArcGIS--PFA-SEC2018U2-Patch-linux.tar

  4. Lancez l’installation en saisissant :

    % ./applypatch

    Ceci lance le dialogue pour la procédure d’installation pilotée par menu. Les sélections par défaut sont notées entre parenthèses ( ). Pour quitter la procédure d'installation, tapez sur « q » à tout moment.

Désinstallation du correctif sous Windows


    Pour désinstaller ce correctif sous Windows, ouvrez le panneau de commande Windows et accédez aux programmes installés Vérifiez que "View installed updates" (Voir les mises à jour installées) (côté supérieur gauche du dialogue Programme et fonctionnalités) est active. Sélectionnez le nom du correctif à partir de la liste de programme et cliquez sur Uninstall (Désinstaller) pour supprimer le correctif.

Désinstallation du correctif sous Linux


    La désinstallation du correctif est disponible uniquement en version 10.5.1. Pour supprimer ce correctif, accédez au directoire /tmp et lancez le script suivant en tant que propriétaire ArcGIS Install :

    ./patchremove

    Remarque : vous pouvez uniquement supprimer le dernier correctif installé.
    Redémarrez vos services ArcGIS

Mises à jour du correctif

Consultez régulièrement la page sur les correctifs et Service Packs pour vous informer sur les correctifs supplémentaires disponibles. De nouvelles informations concernant ce correctif y seront publiées.

13 août 2018 : la version Portal for ArcGIS Security 2018 Update 2 Patch 10.5.1 est maintenant disponible au téléchargement.

Comment identifier les produits ArcGIS installés

Pour déterminer quels sont les produits ArcGIS installés choisissez la version de l’utilitaire PatchFinder adaptée à votre environnement et l’exécutez-la à partir de votre machine locale. PatchFinder établit la liste de tous les produits, des correctifs et des patchs installés sur votre machine locale.

Obtenir de l’aide

Aux États-Unis, contactez le support technique d’Esri au 1-888-377-4575 si vous rencontrez des difficultés pour installer ce correctif. Dans les autres pays, contactez votre distributeur de logiciels Esri.