français

Portal for ArcGIS Privilege Escalation Security Patch

Résumé

Ce correctif de sécurité corrige une faille de sécurité détectée dans Portal for ArcGIS. Esri recommande à tous ses clients qui utilisent Portal for ArcGIS 10.6, 10.5, 10.4 et 10.3 d’appliquer ce correctif.

Description

Esri® annonce Portal for ArcGIS Privilege Escalation Security Patch. Esri recommande à tous ses clients qui utilisent Portal for ArcGIS 10.6, 10.5, 10.4 et 10.3 d’appliquer ce correctif. Ce correctif traite en particulier des problèmes énuméré sous Issues Addressed with this patch (Problèmes résolus avec ce correctif). Ce correctif de sécurité cumulatif comprend plusieurs corrections liées ou non à la sécurité, provenant de correctifs antérieurs, également indiquées ci-après sous Problèmes résolus par ce correctif.

Les clients qui utilisent les versions 10.6.1, 10.5.1, 10.4.1 ou 10.3.1 doivent télécharger le correctif Portal for ArcGIS Security Update 3 Patch qui comprend cette correction.


Problèmes résolus par ce correctif


  • BUG-000117564 - Vulnérabilité d’élévation des privilèges
Pour éviter les conflits, la version 10.6 résout également les problèmes suivants :
  • BUG-000114738 Internet Explorer 11 ne code pas correctement les espaces dans certaines URL de demande de Portal, ce qui a pour effet de faire échouer les demandes dans Portal Linux 10.6.
Pour éviter les conflits, la version 10.5 résout également les problèmes suivants :
  • BUG-000112314 - Impossible d’imprimer les cartes web dans la visionneuse de carte lorsque le fond de carte par défaut est un service WMTS (Web Map Tile Service, service de tuiles de carte) qui ne relève pas du système de coordonnées Web Mercator Auxiliary Sphere.
  • BUG-000111550 Problème d’exécution de scripts intersites (XSS) dans Portal for ArcGIS.
  • BUG-000108753 - L’activation de l’authentification au niveau du portail et de la création automatique de comptes dans la configuration Portal for ArcGIS a pour effet de créer des comptes qui dépassent le nombre de licences disponibles.
  • BUG-000104521 - La performance de Portal for ArcGIS est affectée avec l’augmentation du nombre de membres.
  • BUG-000103165 - Impossibilité de partager avec les utilisateurs dans les configurations de groupes imbriquées entre domaines de Portal Active Directory (AD).
  • BUG-000102793 - Les structures de groupe Active Directory volumineuses posent des problèmes de latence avec Portal for ArcGIS.
Pour éviter les conflits, la version 10.4 résout également les problèmes suivants :
  • BUG-000114325 - De nombreuses pages dans Portal for ArcGIS 10.3.x et 10.4.x ne s’affichent pas correctement après la mise à jour vers Chrome 67.
  • BUG-000099447 - Impossible de charger des fichiers ou de créer des groupes dans l’application d’accueil de Portal après la mise à jour du navigateur vers Firefox 49, Chrome 54 ou Safari 10.
  • BUG-000098559 – Redirection non validée dans Portal for ArcGIS.
  • BUG-000098482 - Problème d’exécution de scripts de site à site (XSS) dans Portal for ArcGIS.
  • BUG-000098118 - Portal for ArcGIS présente des informations internes.
  • BUG-000098025 - Contournement de la règle de redirection des URL dans Portal for ArcGIS.
  • BUG-000096571 - Absence de l’attribut sécurisé dans un cookie dans Portal for ArcGIS.
  • BUG-000096570 - L’exécution de scripts de site à site (XSS) par réflexion est possible dans Portal for ArcGIS.
  • BUG-000094214 - Impossibilité d’importer des prestations ArcGIS Pro vers Portal for ArcGIS 10.4.
  • BUG-000091316 - Certaines opérations de chargement Portal ne valident pas le type de fichier correctement.
Pour éviter les conflits, la version 10.3 résout également les problèmes suivants :
  • BUG-000114325 - De nombreuses pages dans Portal for ArcGIS 10.3.x et 10.4.x ne s’affichent pas correctement après la mise à jour vers Chrome 67.
  • BUG-000099447 - Impossible de charger des fichiers ou de créer des groupes dans l’application d’accueil de Portal après la mise à jour du navigateur vers Firefox 49, Chrome 54 ou Safari 10.
  • BUG-000091176 - Une page vierge apparait plutôt que le message d’erreur "You do not have permission to access this resource " (Vous n’avez pas la permission d’accéder à cette ressource) lors de l’accès à une application créée en utilisant le Web AppBuilder for ArcGIS hébergé dans Portal for ArcGIS lorsque les utilisateurs ne disposent de permission vers l’application.
  • BUG-000085716 - Les couches qui sont décochées dans la carte Web Portal for ArcGI,; puis cochées une fois que la carte est chargée dans Web AppBuilder for ArcGIS ne s’affiche pas dans une fenêtre contextuelle.
  • BUG-000085646 - Visionneuse de carte : la couche activée par le tempst indique l’ensemble des entités lors du passage à un fond de carte personnalisé WMTS.
  • BUG-000085644 - Visionneuse de carte : le fond de carte personnalisée avec deux couches de tuiles ne restituent pas toutes les couches.
  • BUG-000084417 - Le portail dans une configuration hautement disponible ne fonctionne pas lorsqu’une des deux machines de portail reviennent d’un échec.
  • BUG-000083536 - Map Viewer : avec un fond de carte WMTS multicouche, l’une des couches de fond de carte est parfois supprimée de la visionneuse.
  • BUG-000083190 - Lors d’une autorisation avec une licence perpétuelle, l’application d’accueil Portal for ArcGIS ne s’ouvre pas.

Installation du correctif sous Windows


Procédure d’installation :


Portal for ArcGIS 10.6, 10.5, 10.4 ou 10.3 doit être installé avant l’installation du correctif.

  1. Téléchargez le fichier approprié dans un emplacement différent du répertoire d’installation ArcGIS.

  2. Portal for ArcGIS   Somme de contrôle (Md5)
         
        10.6 ArcGIS-106-PFA-PES-Patch.msp 35DF6626DDD63F05F5213CE159B00985
         
        10.5 ArcGIS-105-PFA-PES-Patch.msp 97A4BD465B183B80B5A835AD82B49D2D
         
        10.4 ArcGIS-104-PFA-PES-Patch.msp FD383F606308A22346098A9B954D1CA2
         
        10.3 ArcGIS-103-PFA-PES-Patch.msp 44B900EEEBB42B65EBFA500194560573
         

  3. Vérifiez que vous avez accès en écriture au répertoire d’installation d’ArcGIS.

  4. Double-cliquez sur ArcGIS--PFA-PES-Patch.msp pour lancer l’installation.

    REMARQUE : Si, lorsque vous double-cliquez sur le fichier MSP, l’installation ne démarre pas, vous pouvez la lancer manuellement à l’aide de la commande suivante :

    msiexec.exe /p [emplacement du correctif]\ArcGIS--PFA-PES-Patch.msp


Installation du correctif sous Linux


Procédure d’installation :


Effectuez la procédure d’installation suivante en tant que propriétaire de l’installation ArcGIS. Le propriétaire de l’installation est le propriétaire du dossier arcgis.

Portal for ArcGIS 10.6, 10.5, 10.4 ou 10.3 doit être installé avant l’installation du correctif.

  1. Téléchargez le fichier approprié dans un emplacement différent du répertoire d’installation ArcGIS.


    Portal for ArcGIS   Somme de contrôle (Md5)
         
        10.6 ArcGIS-106-PFA-PES-Patch-linux.tar D5C056D4BEED589BC8429DB0536814FA
         
        10.5 ArcGIS-105-PFA-PES-Patch-linux.tar 07457DC805301C39F52D59EC22B21C9F
         
        10.4 ArcGIS-104-PFA-PES-Patch-linux.tar A06A17B19BEC69263A0E90B914F50E70
         
        10.3 ArcGIS-103-PFA-PES-Patch-linux.tar FDB99611AA8E47768C1AA511048A4853
         

  2. Vérifiez que vous disposez d’un accès en écriture sur l’emplacement d’installation de ArcGIS et que personne n’utilise ArcGIS.

  3. Extrayez le fichier tar spécifié en saisissant ce qui suit :

    % tar -xvf ArcGIS--PFA-PES-Patch-linux.tar

  4. Démarrez l’installation en saisissant ce qui suit :

    % ./applypatch

    Cette opération lance la boîte de dialogue de la procédure d’installation pilotée par menu. Les sélections par défaut sont notées entre parenthèses ( ). Pour quitter la procédure d'installation, tapez sur « q » à tout moment.

Uninstalling this patch on Windows


    Pour désinstaller ce correctif sous Windows, ouvrez le Panneau de configuration Windows et accédez aux programmes installés. Vérifiez que l’option Afficher les mises à jour installées (dans la partie supérieure gauche de la boîte de dialogue Programmes et fonctionnalités) est active. Sélectionnez le nom du correctif dans la liste des programmes et cliquez sur Désinstaller pour le supprimer.

Installation du correctif sous Linux


La désinstallation de ce correctif est disponible uniquement avec les versions 10.6 et ultérieures. Pour supprimer ce correctif, accédez au répertoire /tmp et exécutez le script suivant en tant que propriétaire de l’installation ArcGIS :

./patchremove

Remarque : Vous ne pouvez supprimer que le dernier correctif installé.

Mises à jour du correctif

Consultez régulièrement la page sur les correctifs et Service Packs pour vous informer sur les correctifs supplémentaires disponibles. De nouvelles informations concernant ce correctif y seront publiées.

Procédure d’identification des produits ArcGIS installés

Pour savoir quels produits ArcGIS sont installés, sélectionnez la version de l’utilitaire PatchFinder correspondant à votre environnement, puis exécutez-le à partir de l’ordinateur local. PatchFinder répertorie tous les produits et les correctifs installés sur votre machine locale.

Obtenir de l’aide

Aux États-Unis, contactez le support technique d’Esri au 1-888-377-4575 si vous rencontrez des difficultés pour installer ce correctif. Dans les autres pays, contactez votre distributeur de logiciels Esri.