français

Portal for ArcGIS Security 2019 Update 1 Patch

Résumé

Ce correctif de sécurité corrige plusieurs failles de sécurité identifiées dans Portal for ArcGIS. Esri recommande à tous les clients utilisant Portal for ArcGIS 10.6.1, 10.5.1 et 10.4.1 d’appliquer ce correctif.

Description

Esri® annonce le correctif Portal for ArcGIS Security 2019 Update 1 Patch. Esri recommande à tous les clients utilisant Portal for ArcGIS 10.6.1, 10.5.1 et 10.4.1 d’appliquer ce correctif. Ce correctif traite plus spécifiquement les problèmes indiqués ci-après, sous Problèmes résolus par ce correctif. Ce correctif traite plus spécifiquement les problèmes indiqués ci-après, sous Problèmes résolus par ce correctif.

Remarque : ce correctif de sécurité cumulatif comprend plusieurs corrections liées ou non à la sécurité, provenant de correctifs antérieurs, également indiquées ci-après sous Problèmes résolus par ce correctif

Problèmes résolus par ce correctif


Pour éviter les conflits, la version 10.6.1 résout également les problèmes suivants :
  • BUG-000120392 - Le widget Smart Editor (Éditeur intelligent) ne parvient pas à définir des expressions d’action d’attribut dans Portal for ArcGIS 10.6.1
  • BUG-000120061 - Des données associées pointent vers la même entité dans Web AppBuilder for ArcGIS pour Portal for ArcGIS lorsqu’il existe plusieurs relations vers la même classe d’entités.
  • BUG-000117926 - Impossible de synchroniser les espaces de travail de collaboration lorsque le répertoire de contenu du participant invité utilise un répertoire Cloud.
  • BUG-000117564 - Vulnérabilité d’élévation des privilèges
  • BUG-000117367 - Redirection non validée dans Portal for ArcGIS
  • BUG-000116870 - Impossible de partager les éléments Insights de type classeur, page et modèle avec tout le monde.
  • BUG-000115859 - À partir du niveau de zoom 18, la forme de sélection d’un polygone sélectionné est différente de la forme du polygone des services de carte ajoutés au niveau du serveur de carte à partir d’une instance ArcGIS Server 10.6.1.
  • BUG-000115964 - Le lanceur d’applications n’est plus disponible lorsque le contenu externe est désactivé.
  • BUG-000112707 - Exécution de scripts intersites (XSS) par réflexion dans l’application d’accueil de Portal for ArcGIS
  • BUG-000112342 - La restauration incrémentielle exécutée par l’outil webgisdr échoue lorsque GeoAnalytics Server est fédéré et inscrit auprès de Portal comme Geo Analytics Server.
  • ENH-000116621 - Ajout de la possibilité de modifier le délai d’expiration maximal des jetons générés pour la connexion à Portal for ArcGIS lors de l’utilisation de connexions initiées par des fournisseurs d’identités.
  • ENH-000103213 - Demande d’ajout d’une option pour la mise en place de communications chiffrées entre Portal for ArcGIS et Active Directory
Pour éviter les conflits, la version 10.5.1 résout également les problèmes suivants :
  • BUG-000117369 - Exécution de scripts intersites (XSS) par réflexion dans l’URL de l’élément
  • BUG-000117564 - Vulnérabilité d’élévation des privilèges
  • BUG-000117367 - Redirection non validée dans Portal for ArcGIS
  • BUG-000116992 - Lors de la configuration de l’outil d’analyse Créer des zones tampon dans le Map Viewer de Portal for ArcGIS, en cas de changement du type de géométrie de la couche des zones tampon en entrée, les options de zone tampon ne sont pas correctement actualisées.
  • BUG-000114549 - Il est nécessaire d’augmenter le contraste entre les flèches actives et les flèches inactives du navigateur d’étendue dans Web AppBuilder for ArcGIS lorsque l’arrière-plan est foncé.
  • BUG-000114489 - Le servlet KML (Keyhole Markup Language, langage à base de balises géolocales) ne respecte pas complètement les paramètres du proxy.
  • BUG-000114488 - Le service d’index Portal for ArcGIS présente une faille de sécurité.
  • BUG-000111424 - Des fenêtres contextuelles s’affichent en cas d’alternance entre les widgets Draw (Dessiner), Measurement (Mesure) et Coordinate (Coordonnée).
  • BUG-000113157 - L’importation de site de Portal for ArcGIS échoue si la sauvegarde contient des fichiers Thumbs.db.
  • BUG-000112707 - Exécution de scripts intersites (XSS) par réflexion dans l’application d’accueil de Portal for ArcGIS
  • BUG-000112749 - Exécution de scripts intersites (XSS) par réflexion dans le Map Viewer d’ArcGIS Online.
  • BUG-000112595 - Lorsque vous cliquez sur le lien du message électronique dans le widget Share (Partager), le navigateur affiche une invite de navigation non sollicitée.
  • BUG-000112059 - Dans Portal for ArcGIS, les options de sélection de l’outil Zone tampon, disponible dans le widget Analysis (Analyse) de Web AppBuilder for ArcGIS, restent bloquées si les couches d’entités hébergées se présentent dans l’ordre suivant : points, polygones, polylignes et points.
  • BUG-000112477 - L’action d’entité Add marker (Ajouter un symbole ponctuel) ne fonctionne pas comme prévu.
  • BUG-000112360 - Portal for ArcGIS Web Application Builder présente une vulnérabilité d’exécution de scripts intersites (XSS).
  • BUG-000112358 - Il est nécessaire de nettoyer les URL d’accès aux ressources de légende de manière à supprimer les caractères non valides de l’URL SOAP.
  • BUG-000112357 - Redirection non validée dans les points d’extrémité /portal/sharing/login et portal/sharing/rest/login de Portal for ArcGIS.
  • BUG-000112161 - La visionneuse Web CityEngine dans Portal for ArcGIS présente un problème d’exécution de scripts intersites (XSS) par réflexion.
  • BUG-000112088 - L’opération Show Table (Afficher la table) dans la carte Web de Portal for ArcGIS 10.5.1 ne renvoie pas l’attribut du service d’imagerie.
  • BUG-000112026 - Après avoir appliqué le correctif Portal for ArcGIS Security 2018 Update 1 Patch, lors de la connexion à l’application d’accueil Portal for ArcGIS, si un utilisateur de domaine saisit un mot de passe incorrect, tous les utilisateurs de domaine sont verrouillés hors de Portal for ArcGIS.
  • BUG-000111942 - La symbologie n’est pas conservée sur une couche d’entités partagée lorsqu’un filtre est appliqué et que la couche est utilisée par un autre utilisateur pour créer sa propre carte Web.
  • BUG-000110677 - Les données affichées précédemment ne disparaissent pas lors d’un zoom arrière.
  • BUG-000110632 - Les services de carte et d’entités basés sur GeoEvent qui sont liés ne doivent pas être associés lorsqu’ils sont tous les deux ajoutés à la table des matières de Map Viewer.
  • BUG-000110291 - Portal for ArcGIS ne doit pas analyser les balises d’entité.
  • BUG-000110290 - Suppression des entrées d’enregistrement non valides de la base de données interne Portal for ArcGIS.
  • BUG-000111090 - La sélection d’un widget entraîne la perte de la sélection lors de l’utilisation de la fonctionnalité Create Layer (Créer une couche) sur une couche ajoutée via le widget Add Data (Ajouter des données) dans Web AppBuilder dans Portal for ArcGIS.
  • BUG-000111077 - Erreur d’exécution : affectation d’une valeur non autorisée à une entité lors de la modification d’étiquettes dans une carte Web Portal avec la visibilité des couches désactivée.
  • BUG-000111058 - Arcade Editor effectue des appels au domaine « fast.fonts.net », ce qui génère des retards considérables dans les réseaux déconnectés.
  • BUG-000110542 - Dans Web AppBuilder for ArcGIS, l’option Create Layer (Créer un couche) n’est pas activée si une seule entité est sélectionnée.
  • BUG-000109870 - Dans Map Viewer, les tuiles vectorielles ne respectent pas les paramètres d’échelle visibles lors du zoom arrière et de la distribution de polygones dans des zones non adjacentes.
  • BUG-000109517 - Dans le Map Viewer de Portal for ArcGIS 10.5.1, le volet Create Labels (Créer des étiquettes) ne fonctionne pas pour les services de cartes publiés à partir du document de carte avec le paramètre « Allow assignment of unique numeric IDs for map service publishing » (Autoriser l’affectation d’identifiants numériques uniques pour la publication de services de carte) spécifié.
  • BUG-000108753 - L’activation de l’authentification au niveau du portail et de la création automatique de comptes dans la configuration Portal for ArcGIS a pour effet de créer des comptes qui dépassent le nombre de licences disponibles.
  • BUG-000108364 - Le widget Add Data (Ajouter des données) inclus dans Portal for ArcGIS et dans Web App Builder Developer Edition renvoie une erreur après l’accès à un fichier CSV.
  • BUG-000108155 - Des requêtes generateToken illimitées sont déclenchées dans Map Viewer en cas d’expiration d’un jeton pour un portail configuré avec l’authentification Windows intégrée (IWA) et fédéré avec ArcGIS Server.
  • BUG-000107814 - La création d’étiquettes ne fonctionne pas dans Portal for ArcGIS 10.5.1 pour les services de carte d’ArcGIS Server 10.5.1.
  • BUG-000107440 - Portal for ArcGIS interdit l’accès au portail administrateur lorsque le nom réel de la machine ne figure pas sur le certificat.
  • BUG-000107004 - Un message d’erreur est renvoyé lorsque le service de géotraitement Extract Data Task (Tâche Exporter les données) est exécuté dans Web AppBuilder for ArcGIS pour Portal for ArcGIS 10.5.1 dans Internet Explorer.
  • BUG-000106909 - Le filtrage d’un service de carte ne filtre pas la table attributaire dans la carte Web.
  • BUG-000106917 - Le Map Viewer de Portal for ArcGIS 10.5.1 ne charge pas le fond de carte Bing Roads lorsque l’option HTTPS only (HTTPS uniquement) est activée en raison d’erreurs de non-correspondance des certificats sur les tuiles demandées.
  • BUG-000106874 - Les pièces jointes ne sont pas conservées dans la fenêtre contextuelle des cartes Web lors de l’utilisation de la fonction de recherche par couche.
  • BUG-000106303 - Portal for ArcGIS ne respecte pas complètement le paramètre « domainControllerAddress » dans la configuration de la sécurité.
  • BUG-000105202 - Lors de l’accès à un service sécurisé dans le portail avec des informations d’identification sauvegardées, la demande de jeton généré par proxy ne respecte pas les paramètres ProxyHost.
  • BUG-000105062 - Le widget Add Data (Ajouter des données) inclus dans Portal for ArcGIS et dans Web App Builder Developer Edition ne parvient pas à afficher les résultats après l’accès à un shapefile compressé.
  • BUG-000104949 - Les fonds de carte suivant le système de coordonnées WGS84 ne sont pas représentés dans la section Item Details (Détails des éléments) de la boîte de dialogue Set Extent (Définir l’étendue).
  • BUG-000103846 - Portal for ArcGIS comporte une vulnérabilité d’informations d’identification codées en dur.
  • ENH-000103213 - Demande d’ajout d’une option pour la mise en place de communications chiffrées entre Portal for ArcGIS et Active Directory
Pour éviter les conflits, la version 10.4.1 résout également les problèmes suivants :
  • BUG-000117369 - Exécution de scripts intersites (XSS) par réflexion dans l’URL de l’élément
  • BUG-000117564 - Vulnérabilité d’élévation des privilèges
  • BUG-000117367 - Redirection non validée dans Portal for ArcGIS
  • BUG-000114489 - Le servlet KML (Keyhole Markup Language, langage à base de balises géolocales) ne respecte pas complètement les paramètres du proxy.
  • BUG-000114325 - Plusieurs pages dans Portal for ArcGIS 10.3.x et 10.4.x ne s’affichent pas correctement après la mise à jour vers Chrome 67.
  • BUG-000112749 - Exécution de scripts intersites (XSS) par réflexion dans le Map Viewer d’ArcGIS Online.
  • BUG-000112707 - Exécution de scripts intersites (XSS) par réflexion dans l’application d’accueil de Portal for ArcGIS
  • BUG-000112360 - Portal for ArcGIS Web Application Builder présente une vulnérabilité d’exécution de scripts intersites (XSS).
  • BUG-000112358 - Il est nécessaire de nettoyer les URL d’accès aux ressources de légende de manière à supprimer les caractères non valides de l’URL SOAP.
  • BUG-000112357 - Redirection non validée dans les points d’extrémité /portal/sharing/login et portal/sharing/rest/login de Portal for ArcGIS.
  • BUG-000112161 - La visionneuse Web CityEngine dans Portal for ArcGIS présente un problème d’exécution de scripts intersites (XSS) par réflexion.
  • BUG-000110291 - Portal for ArcGIS ne doit pas analyser les balises d’entité.
  • BUG-000110290 - Suppression des entrées d’enregistrement non valides de la base de données interne Portal for ArcGIS.
  • BUG-000101562 - Impossibilité d’accéder à l’option « Edit Settings » (Modifier les paramètres) de Portal for ArcGIS lors de l’utilisation du Java Web Adaptator avec Apache Tomcat 7.0.73+ ou 8.0.39+.
  • BUG-000108753 - L’activation de l’authentification au niveau du portail et de la création automatique de comptes dans la configuration Portal for ArcGIS a pour effet de créer des comptes qui dépassent le nombre de licences disponibles.
  • BUG-000108155 - Des requêtes generateToken illimitées sont déclenchées dans Map Viewer en cas d’expiration d’un jeton pour un portail configuré avec l’authentification Windows intégrée (IWA) et fédéré avec ArcGIS Server.
  • BUG-000104718 - Les tuiles d’une couche de tuiles hébergée provenant d’ArcGIS Online ne sont pas visibles dans le Map Viewer de Portal for ArcGIS si la couche de tuiles est ajoutée en tant qu’élément avec des identifiants de connexion stockés.
  • BUG-000104116 - Lors de l’ajout de membres à Portal for ArcGIS à l’aide d’identifiants de connexion d’entreprise, les utilisateurs dont le nom comporte moins de six caractères ne sont pas ajoutés même si aucune limite de ce type n’existe dans Portal for ArcGIS.
  • BUG-000103731 - Dans un déploiement Portal haute disponibilité, l’état « Create New Site » (Créer un site) du nœud principal est rétabli si ce dernier perd sa connexion avec le répertoire de contenu.
  • BUG-000103700 - La page de connexion du portail s’affiche en anglais, plutôt que dans la langue par défaut, si l’option « Allow anonymous access to your portal » (Autoriser l’accès anonyme à votre portail) n’est pas cochée.
  • BUG-000102927 - En cas de lenteur de l’affichage d’une couche dans Map Viewer, le message signalant l’absence de réponse de la couche ne disparaît pas automatiquement lorsqu’elle finit par s’afficher.
  • BUG-000102793 - Les structures de groupe Active Directory volumineuses posent des problèmes de latence avec Portal for ArcGIS.
  • BUG-000100424 - Le widget de géotraitement Web AppBuilder for ArcGIS ne parvient pas à afficher la table en sortie quand le service de géotraitement est publié avec le paramètre « View result with a map service » (Voir le résultat avec un service de carte).
  • BUG-000100420 - La case correspondant aux couches dans le widget Layer List (Liste des couches) ne fonctionne pas une fois l’application actualisée ou relancée pour les couches d’entités de services de carte, lorsque le groupe de couches est décoché et que les sous-couches sont cochées.
  • BUG-000099447 - Impossible de charger des fichiers dans l’application d’accueil de Portal après la mise à jour du navigateur vers Firefox 49 ou Chrome 54.
  • BUG-000098559 – Redirection non validée dans Portal for ArcGIS.
  • BUG-000098482 - Problème d’exécution de scripts intersites (XSS) dans Portal for ArcGIS.
  • BUG-000098148 - L’actualisation de l’appartenance pour des utilisateurs et groupes d’entreprise ne respecte pas l’appartenance à un groupe imbriqué dans des groupes universels.
  • BUG-000098118 - Portal for ArcGIS affiche des informations internes.
  • BUG-000098025 - Contournement de la règle de redirection des URL dans Portal for ArcGIS.
  • BUG-000097777 - Prise en charge des identifiants de connexion SAML à Portal for ArcGIS lorsqu’un proxy inverse est défini à l’aide de la propriété WebContextURL.
  • BUG-000096571 - Absence de l’attribut sécurisé dans un cookie dans Portal for ArcGIS.
  • BUG-000096570 - L’exécution de scripts intersites (XSS) par réflexion est possible dans Portal for ArcGIS.
  • BUG-000096161 - L’erreur « unable to refresh item » (impossible d’actualiser l’élément) est renvoyée lors d’une analyse réalisée à l’aide des outils d’analyse spatiale dans Portal for ArcGIS Map Viewer. Cette erreur se produit lorsqu’ArcGIS Web Adaptor (ou tout autre proxy inverse) se trouve sur une autre machine que le Hosting ArcGIS Server.
  • BUG-000094537- Les utilisateurs d’Active Directory qui font partie d’un groupe d’entreprise portant le même nom qu’un groupe dans un domaine différent bénéficient de l’accès à Portal ArcGIS 10.4 même s’ils n’appartiennent pas à cet autre groupe.
  • BUG-000094523 - Les utilisateurs inter-domaines ne peuvent pas voir les groupes Enterprise dont ils sont membres au sein de Portal for ArcGIS 10.4.
  • BUG-000091316 - Certaines opérations de chargement Portal ne valident pas le type de fichier correctement.
  • ENH-000103213 - Demande d’ajout d’une option pour la mise en place de communications chiffrées entre Portal for ArcGIS et Active Directory
  • ENH-000092759 - Prise en charge des noms d’utilisateur d’entreprise comportant au moins 3 caractères.
  • NIM104313 - La déconnexion d’un utilisateur d’entreprise dans Portal for ArcGIS n’est pas propagée au fournisseur d’identités SAML correspondant.

Installation du correctif sous Windows


Procédure d’installation :


Le produit ArcGIS répertorié dans la table doit être installé sur votre système avant d’installer un correctif. Le programme d’installation de chaque correctif est propre au produit ArcGIS de la liste. Pour savoir quels produits sont installés sur votre système, consultez la section Procédure d’identification des produits ArcGIS installés. Esri recommande d’installer le correctif pour chaque produit présent sur le système.

  1. Téléchargez le fichier approprié à un emplacement différent du répertoire d’installation ArcGIS.

  2. ArcGIS 10.6.1   Somme de contrôle (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch.msp 51EF857E8B4525DFEE08048FBC89B5DC
         
    ArcGIS 10.5.1   Somme de contrôle (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch.msp E3B68D2062256231C5B194CBC867C7C0
         
    ArcGIS 10.4.1   Somme de contrôle (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch.msp B4BD88CE425D928321C44F5FE6743FE1
         

  3. Vérifiez que vous avez accès en écriture au répertoire d’installation ArcGIS.

  4. Double-cliquez sur ArcGIS--PFA-SEC2019U1-Patch.msp pour lancer l’installation.

    REMARQUE : si l’installation ne démarre pas lorsque vous double-cliquez sur le fichier MSP, vous pouvez la lancer manuellement à l’aide de la commande suivante :

    msiexec.exe /p [emplacement du correctif]\ArcGIS--PFA-SEC2019U1-Patch.msp


Installation du correctif sous Linux


Procédure d’installation :


Effectuez la procédure d’installation suivante en tant que propriétaire de l’installation ArcGIS. Le propriétaire de l’installation est le propriétaire du dossier ArcGIS.

Le produit ArcGIS répertorié dans la table doit être installé sur votre système avant d’installer un correctif. Le programme d’installation de chaque correctif est propre au produit ArcGIS de la liste. Pour savoir quels produits sont installés sur votre système, consultez la section Procédure d’identification des produits ArcGIS installés. Esri recommande d’installer le correctif pour chaque produit présent sur le système.

  1. Téléchargez le fichier approprié à un emplacement différent du répertoire d’installation ArcGIS.


    ArcGIS 10.6.1   Somme de contrôle (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch-linux.tar DFFE5A971B8D2EF4124BE0E659782F80
         
    ArcGIS 10.5.1   Somme de contrôle (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch-linux.tar 342660988AD4393D9EB45A5D59D6C876
         
    ArcGIS 10.4.1   Somme de contrôle (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch-linux.tar BC31A417DC58A3751366FE5AF5A0E65F
         

  2. Vérifiez que vous disposez d’un accès en écriture au répertoire d’installation ArcGIS et que personne n’utilise ArcGIS.

  3. Extrayez le fichier *.tar spécifié en saisissant ce qui suit :

    % tar -xvf ArcGIS--PFA-SEC2019U1-Patch-linux.tar

  4. Démarrez l’installation en saisissant ce qui suit :

    % ./applypatch

    Cette opération lance la boîte de dialogue de la procédure d’installation pilotée par menu. Les sélections par défaut sont notées entre parenthèses ( ). Pour quitter la procédure d’installation, appuyez sur la touche « q » à tout moment.

Désinstallation du correctif sous Windows


    Pour désinstaller ce correctif sous Windows, ouvrez le Panneau de configuration Windows et accédez aux programmes installés. Vérifiez que l’option Afficher les mises à jour installées (dans la partie supérieure gauche de la boîte de dialogue Programmes et fonctionnalités) est active. Sélectionnez le nom du correctif dans la liste des programmes et cliquez sur Désinstaller pour le supprimer.

Désinstallation du correctif sous Linux


La désinstallation de ce correctif est disponible uniquement avec les versions 10.6 et ultérieures. Pour supprimer ce correctif, accédez au répertoire /tmp et exécutez le script suivant en tant que propriétaire de l’installation ArcGIS :

./patchremove

Remarque : vous ne pouvez supprimer que le dernier correctif installé.

Évaluations CVSS version 3.0

Esri inclut désormais le score CVSS (Common Vulnerability Scoring System) avec chacun des problèmes de sécurité résolus par le correctif dans un souci d’évaluation de la gravité des problèmes. Le tableau ci-dessous indique les classements.

Gravité Plage des scores de base
Aucun 0,0
Faible 0,1 - 3,9
Moyenne 4,0 - 6,9
Élevée 7,0 - 8,9
Critique 9,0 - 10,0

Mises à jour du correctif

Consultez régulièrement la page sur les correctifs et Service Packs pour vous informer sur les correctifs supplémentaires disponibles. De nouvelles informations concernant ce correctif y seront publiées.

Procédure d’identification des produits ArcGIS installés

Pour savoir quels produits ArcGIS sont installés, sélectionnez la version de l’utilitaire PatchFinder correspondant à votre environnement, puis exécutez-le à partir de l’ordinateur local. PatchFinder répertorie tous les produits et les correctifs installés sur votre machine locale.

Obtenir de l’aide

Aux États-Unis, contactez le support technique d’Esri au 1-888-377-4575 si vous rencontrez des difficultés pour installer ce correctif. Dans les autres pays, contactez votre distributeur de logiciels Esri.