français
Continue in the app

ArcGIS Server Security 2021 Update 2 Patch

Résumé

Ce correctif de sécurité corrige plusieurs failles de sécurité identifiées dans ArcGIS Server. Esri recommande à tous les clients qui utilisent ArcGIS Server 10.9, 10.8.1, 10.7.1 et 10.6.1 d’appliquer ce correctif.

Description

Esri® annonce le correctif ArcGIS Server Security 2021 Update 2 Patch. Esri recommande à tous les clients qui utilisent ArcGIS Server 10.9, 10.8.1, 10.7.1 et 10.6.1 d’appliquer ce correctif. Ce correctif traite plus spécifiquement les problèmes répertoriés sous Problèmes résolus par ce correctif.


Problèmes résolus par ce correctif


  • ArcGIS Server Security 2021 Update 2 Patch
  • BUG-000113339 - L’opération d’exportation du site pour les versions ArcGIS Server 10.6 et 10.7.1 renvoie le message d’erreur, "L’exportation a échoué. null" dans Amazon Web Services (AWS) sous Microsoft Windows et Linux (ou Azure). (version 10.7.1 uniquement)
  • BUG-000139857 - Vulnérabilité de l’inclusion du fichier distant dans la documentation de l’aide d’ArcGIS Server
  • BUG-000142180 - Vulnérabilité de type XSS stocké dans ArcGIS Server (10.8.1 et 10.9 uniquement)
  • BUG-000142120 - Vulnérabilité de l’injection SQL dans ArcGIS Server
  • BUG-000142204 - Définir un champ comme invisible dans une vue de service d’entités hébergé implique de masquer les références du champ aux modèles.
Pour éviter les conflits dans la version 10.9, ce correctif résout également les problèmes suivants :
  • BUG-000141023 - Supprimer les restrictions sur les paramètres d’intervalle lorsqu’elles sont utilisées dans les requêtes de couches de services d’entités hébergées d’ArcGIS Enterprise.
  • BUG-000141022 - Les services d’entités hébergés dans ArcGIS Enterprise doivent renvoyer des réponses non compressées sur demande.

Pour éviter les conflits dans la version 10.8.1, ce correctif résout également les problèmes suivants :
  • BUG-000138234 - La sauvegarde WebGIS DR a échoué lors de la tentative de création d’un service.
  • BUG-000137668 - Vulnérabilité de type XSS stocké dans le répertoire ArcGIS Server Services
  • BUG-000137663 - Vulnérabilité de type XSS stocké dans ArcGIS Server
  • BUG-000137662 - XSS réfléchi dans ArcGIS Server
  • BUG-000137658 - Vulnérabilité de type SSRF dans ArcGIS Server Manager.
  • BUG-000135919 - Lorsque l’importation du site ArcGIS Server échoue en cas d’utilisation de l’outil DR, le site ne revient pas à un état fonctionnel.
  • BUG-000135918 - L’importation d’un site ArcGIS Server à l’aide de l’outil DR peut échouer de temps en temps.
  • BUG-000135563 - Si le nom du champ est construit à l’aide de chaînes multioctets, l’utilisation de la clause WHERE comme opération de requête avec le champ se solde par un échec.
  • BUG-000134113 - Ne mettez à jour les informations sur le service que si les champs de l’onglet Description de l’élément ont été délibérément modifiés dans Server Manager.
  • BUG-000133232 - Proposez une assistance dans ArcGIS Server pour vous assurer que les membres du portail ArcGIS Enterprise détenant des rôles personnalisés soient en mesure de supprimer leurs propres services lorsque le rôle inclut des privilèges administratifs tels que 'Afficher tous les membres' et les privilèges de publication.
  • BUG-000132999 - Dans un site ArcGIS Server à plusieurs machines, le processus de restauration peut ne pas parvenir à annuler l’inscription ni à réinscrire les nœuds supplémentaires.
  • BUG-000131992 - Vulnérabilité de type XSS (Cross-Site Scripting) réfléchi dans ArcGIS Server.
  • BUG-000127160 - Erreur lors de l’activation du suivi de la localisation lorsque le répertoire de configuration se trouve dans le stockage Cloud.

Pour éviter les conflits dans la version 10.7.1, ce correctif résout également les problèmes suivants :
  • BUG-000137668 - Vulnérabilité de type XSS stocké dans le répertoire ArcGIS Server Services
  • BUG-000137663 - Vulnérabilité de type XSS stocké dans ArcGIS Server
  • BUG-000137662 - XSS réfléchi dans ArcGIS Server
  • BUG-000137658 - Vulnérabilité de type SSRF dans ArcGIS Server Manager.
  • BUG-000132311 - Impossible de voir les informations sur l’espace de travail des services dans Server Manager si le répertoire de configuration du site est conservé dans S3/DynamoDB dans AWS
  • BUG-000131992 - Vulnérabilité de type XSS (Cross-Site Scripting) réfléchi dans ArcGIS Server.
  • BUG-000130002 - Les requêtes 'GetFolders', 'GetDescriptions' et 'GetDescriptionsEx' échouent dans les déploiements ArcGIS Server 10.7.1 sur Amazon Web Services.
  • BUG-000128892 - La mise en cache avec 64 instances ou plus sur une seule machine risque d’échouer même si les ressources système sont suffisantes.
  • BUG-000128060 - ArcGIS Server présente une vulnérabilité de type SSRF (Server Side Request Forgery).
  • BUG-000127160 - Erreur lors de l’activation du suivi de la localisation lorsque le répertoire de configuration se trouve dans le stockage Cloud.
  • BUG-000127113 - Connexion au magasin d’identités impossible avec Asp.net et ArcGIS Server 10.7. ou version ultérieure après le redémarrage du service Windows ArcGIS Server.
  • BUG-000125331 - CreateReplica avec registerExistingData doit tenir compte des URL de service avec différents noms de machine pour les services d’entités hébergés
  • BUG-000125214 - Optimisation de la suppression de services pour éviter les délais d’expiration sur des déploiements qui incluent un grand nombre de services.
  • BUG-000125044 - Le service d’entités hébergé présente une vulnérabilité de type XSS (Cross-Site Scripting) stocké.
  • BUG-000124991 - ArcGIS Server ne parvient pas à importer entièrement les certificats racines ou intermédiaires.
  • BUG-000124867 - Lors de la tentative de téléchargement d’une zone cartographique gérée dans Collector for ArcGIS, le téléchargement échoue en raison d’une erreur qui se produit entre ArcGIS Server et l’accès au réplica ArcGIS Web Adaptor.
  • BUG-000124827 - Sur un site ArcGIS Server à plusieurs machines qui comporte un ou plusieurs services de carte en cache ayant été utilisés via ArcMap ou un client SOAP, la publication d’un service ou l’arrêt/le démarrage d’un service entraîne le redémarrage de tous les services sur les machines.
  • BUG-000124576 - Le démarrage d’un service de carte avec une extension d’objet serveur (SOE) Java SOAP activée échoue avec l’erreur « javax/xml/bind/JAXBException ».
  • BUG-000124287 - La publication échoue en raison de l’échec de l’inscription de la base de données d’entreprise, même si elle semble fonctionner dans l’interface utilisateur. Cela peut se produire sur la configuration d’une machine comportant plusieurs cartes réseau.
  • BUG-000123103 - ArcGIS Server gère de façon inappropriée une origine CORS incorrecte.
  • BUG-000122285 - La scalabilité du service de scène 3D est entravée par des lectures/écritures fréquentes dans les répertoires et le magasin de configuration.
  • BUG-000120535 - Dans le diagramme de série Operations Dashboard for ArcGIS dans Portal for ArcGIS, le tri des données par statistiques dans la configuration Data Options (Options des données) renvoie le message d’avertissement suivant : « Cannot Access Data. » (Accès aux données impossible.).

Pour éviter les conflits dans la version 10.6.1, ce correctif résout également les problèmes suivants :
  • BUG-000137702 - Résout un blocage dans ArcGIS lors de l’utilisation de fichiers PMF
  • BUG-000137668 - Vulnérabilité de type XSS stocké dans le répertoire ArcGIS Server Services.
  • BUG-000137663 - Vulnérabilité de type XSS stocké dans ArcGIS Server.
  • BUG-000137662 - XSS réfléchi dans ArcGIS Server.
  • BUG-000137659 - XSS (Cross-Site Scripting) dans ArcGIS Server.
  • BUG-000137658 - Vulnérabilité de type SSRF dans ArcGIS Server Manager.
  • BUG-000134965 - Il existe une faille concernant l’injection SQL dans ArcGIS Server.
  • BUG-000132034 - Dans Portal for ArcGIS, lorsque le nom du fichier joint est en japonais, un fichier ne peut pas être ouvert, mais il peut être téléchargé.
  • BUG-000131992 - Vulnérabilité de type XSS (Cross-Site Scripting) réfléchi dans ArcGIS Server.
  • BUG-000131010 - L’exécution de la commande de recherche dans l’extrémité REST ArcGIS Desktop et ArcGIS Server est beaucoup plus longue de 10.6.0 à 10.6.1.
  • BUG-000130724 - La méthode Con du composant Spatial Analyst RasterConditionalOp échoue de manière inattendue avec une erreur si elle est appelée dans une syntaxe antérieure à la version 10.
  • BUG-000128883 - L’outil de géotraitement Inscrire dans une géodatabase se charge et fonctionne lentement dans ArcMap en cas d’inscription de tables ou vues spatiales volumineuses avec une géodatabase d’entreprise.
  • BUG-000128381 - La synchronisation de réplicas monodirectionnels échoue avec l’erreur : 'Échec de la synchronisation de réplicas [.] Table non enregistrée [PEA.GDB_TEMP_USER_IDS]'.
  • BUG-000128060 - ArcGIS Server présente une vulnérabilité de type SSRF (Server Side Request Forgery).
  • BUG-000126701 - Échec de la restauration des services hébergés si leur vue associée est répertoriée par ordre alphabétique après le service hébergé.
  • BUG-000126173 - GeoAnalytics Server ne prend pas en charge les connexions à Hadoop avec l’authentification Kerberos lorsque la propriété hadoop.rpc.protection de Hadoop est définie sur « privacy » (confidentialité) ou « integrity » (intégrité).
  • BUG-000125044 - Le service d’entités hébergé présente une vulnérabilité de type XSS (Cross-Site Scripting) stocké.
  • BUG-000124827 - Sur un site ArcGIS Server à plusieurs machines qui comporte un ou plusieurs services de carte en cache ayant été utilisés via ArcMap ou un client SOAP, la publication d’un service ou l’arrêt/le démarrage d’un service entraîne le redémarrage de tous les services sur les machines.
  • BUG-000124386 - Correction de l’ordre des opérations au cours de la tâche importSite.
  • BUG-000124326 - Le changement de nom d’une classe d’entités SDO_Geometry échoue dans Oracle 19c.
  • BUG-000124325 - La création d’un type spatial échoue dans Oracle 19c.
  • BUG-000124079 - L’exécution de l’ajustement de bloc sur la collection d’images pour la seconde fois est susceptible d’échouer avec une valeur d’élévation par défaut manquante.
  • BUG-000123103 - ArcGIS Server gère de façon inappropriée une origine CORS incorrecte.
  • BUG-000122408 - Un certificat personnalisé du serveur Web n’est pas conservé en cas de restauration d’une sauvegarde webgisdr.
  • BUG-000122285 - Les services de scène 3D ArcGIS Enterprise offrent un faible rendement et présentent une scalabilité nulle sur plusieurs nœuds SIG.
  • BUG-000121595 - Problème occasionnel/intermittent lié à la création de site ainsi qu’à la création et à la suppression de services dans ArcGIS Server.
  • BUG-000120805 - Problème de contrôle d’accès dans ArcGIS Server.
  • BUG-000120195 - Échec de la restauration des services hébergés contenant des vues associées.
  • BUG-000119801 - L’outil Échantillon échoue lorsque plusieurs mosaïques sont indiquées en tant que rasters en entrée.
  • BUG-000119759 - Amélioration de la qualité et des performances de l’outil Échantillon.
  • BUG-000119534 - L’outil Allocation de chemin génère des résultats incorrects lorsque les caractéristiques sources sont spécifiées.
  • BUG-000119493 - L’outil Cuvettes crée deux valeurs uniques pour les régions en cuvette connectées en diagonale. Cela est incorrect car les cuvettes connectées en diagonale doivent être identifiées par une valeur unique.
  • BUG-000119425 - Les tâches SummarizeRasterWithin (Synthétiser un raster à l’intérieur) et ConvertRasterToFeature (Convertir le raster en entités) dans ArcGIS Image Server se bloquent lors de la tentative de lecture directe d’un service d’imagerie en entrée situé sur un répertoire raster Cloud.
  • BUG-000119424 - Les outils Géométrie zonale (table) et Géométrie zonale génèrent des résultats incorrects lorsqu’un champ autre qu’un champ de valeur a été utilisé. Dans ce cas, la logique de calcul des propriétés de la géométrie zonale n’est pas correcte et le logiciel cesse de fonctionner.
  • BUG-000119423 - L’outil Bassins versants se fige lorsque l’étendue de traitement est définie sur une seule captation de cellule.
  • BUG-000119422 - L’outil Distance de flux dans ModelBuilder n’affiche pas le paramètre « FlowDistanceType ».
  • BUG-000119421 - L’outil Distance de flux génère des valeurs NoData pour la majorité des cellules lorsque le raster de surface en entrée n’est pas conditionné hydrologiquement.
  • BUG-000119419 - L’outil Direction euclidienne avec des données haute résolution produit une sortie incorrecte.
  • BUG-000119323 - L’outil Raster vers polygones avec l’option « Create multipart features » (Créer des entités multiparties) activée verrouille la sortie contre les mises à jour.
  • BUG-000119030 - L’interrogation ou la sélection depuis une géodatabase fichier compressée plus de huit fois dans ArcGIS Desktop 10.6.1 est plus lente que dans ArcGIS Desktop 10.5.1.
  • BUG-000118421 - Si une chaîne de connexion comporte des caractères autres qu’anglais, l’outil Copier un raster renvoie l’erreur suivante lors de l’importation d’un raster dans une géodatabase d’entreprise : « ERREUR 999999 : Erreur lors de l’exécution de la fonction. Aucun stockage raster n’est configuré. Exécution en dehors d’un processus serveur. Échec de l’exécution de la commande [CopyRaster]. »
  • BUG-000118138 - Les champs de type Double ArcGIS avec une précision = 10 et une échelle = 0 dans une géodatabase Oracle sont automatiquement transformés en type Entier long après une prévisualisation dans ArcGIS 10.6.1/ArcGIS Pro 2.2 ou des clients ultérieurs. Une erreur est renvoyée, « [ORA-01455 : la conversion de colonnes dépasse la capacité du type de données entier] » si les champs contiennent des nombres d’une taille supérieure au maximum autorisé pour un entier long (2 47 483 647).
  • BUG-000117983 - Problème de contrôle d’accès dans le gestionnaire de tuiles ArcGIS Server.
  • BUG-000117954 - Le service de scène devrait ignorer les erreurs de certificat pendant la consommation de caches de scène dans Scene Viewer.
  • BUG-000117633 - Dans les versions 10.6.1 et antérieures, il est possible que le service de la plateforme de bus des messages ne soit pas initialisé correctement dans tous les environnements.
  • BUG-000117372 - XSS (Cross-Site Scripting) dans l’API d’administration du serveur.
  • BUG-000116972 - Collector for ArcGIS (iOS) ne parvient pas à envoyer des photos en pièce jointe aux couches d’entités hébergées dans ArcGIS Enterprise 10.6.1.
  • BUG-000116589 - Les outils Chemin de coût et Chemin de coût en polyligne avec un sens de circulation en entrée pour le raster d’antécédence sont lents.
  • BUG-000116047 - L’outil Chemin de coût génère une sortie incorrecte lorsque le raster de sens de circulation est utilisé en entrée pour le raster de distance et d’antécédence.
  • BUG-000115799 - Le zoom excessif ne fonctionne pas correctement sur les couches de tuiles vectorielles hébergées dans ArcGIS Enterprise 10.6.1 lorsqu’elles sont affichées dans le Map Viewer.
  • BUG-000115304 - Dans un site ArcGIS Server à plusieurs machines, l’opération ImportSite modifie les options de propriété de la machine serveur appartenant à HTTPS sur les machines autres que celle qui exécute l’opération ImportSite
  • BUG-000115147 - Lorsque ITopologicalOperator::Buffer est appelé sur un polygone, si le polygone est dégénéré à un point, l’appel de la zone tampon se bloque.
  • BUG-000113368 - Les outils d’allocation euclidienne, de distance et de direction sont beaucoup plus lents dans la version actuelle que dans la version précédente d’ArcMap.
  • BUG-000113339 - L’exportation du site ArcGIS Server 10.6 (ou 10.7.1) renvoie le message d’erreur, « Export operation failed. null » (L’exportation a échoué) dans Amazon Web Services (AWS) sur Microsoft Windows et Linux (ou Azure).
  • BUG-000111075 - Un service d’entités utilisé dans un service GeoEvent ne parvient pas à établir à nouveau la communication avec la base de données lors de la reprise de la connexion à la base de données après une défaillance de communication.
  • BUG-000111075 - Aucun recyclage de service pour le serveur d’entités après l’échec de la connexion à une base de données.
  • BUG-000098315 - L’outil Échantillon renvoie des valeurs Null lorsque le raster en entrée est une mosaïque.
  • BUG-000096996 - ExtractMultiValuestoPoints, ExtractValuestoPoints renvoie une erreur lorsque l’entité ponctuelle en entrée est une couche d’événements XY.
  • BUG-000089296 - Les services d’entités joints dans ArcGIS GIS Server sont téléchargés dans les navigateurs Web Mozilla Firefox et Google Chrome, au lieu d’être ouverts dans un nouvel onglet ou une nouvelle fenêtre de navigateur.

Installation du correctif sous Windows


Procédure d’installation :


Le produit ArcGIS répertorié dans la table doit être installé sur votre système avant d’installer un correctif. Le programme d’installation de chaque correctif est propre au produit ArcGIS de la liste. Pour savoir quels produits sont installés sur votre système, consultez la section Procédure d’identification des produits ArcGIS installés. Esri recommande d’installer le correctif pour chaque produit présent sur le système.

  1. Téléchargez le fichier approprié à un emplacement différent du répertoire d’installation ArcGIS.

  2. ArcGIS 10.9  
       
    ArcGIS Server ArcGIS-109-S-SEC2021U2-Patch.msp
         Somme de contrôle
         (SHA256)
    CE35131B1DD2643A4C1843036572072BE1FA03230C0500B8DF3B42DDCB675AEB
       
    ArcGIS 10.8.1  
       
    ArcGIS Server ArcGIS-1081-S-SEC2021U2-Patch.msp
         Somme de contrôle
         (SHA256)
    AED467ADAAA40A615FDB746821589A35BF130B6DF49EC19A8CEF426616188E66
       
    ArcGIS 10.7.1  
       
    ArcGIS Server ArcGIS-1071-S-SEC2021U2-Patch.msp
         Somme de contrôle
         (SHA256)
    2A96095DE1525F4C16774A42982C2E2E00DD4AB7C22F58103DAC1849377852BE
       
    ArcGIS 10.6.1  
       
    ArcGIS Server ArcGIS-1061-S-SEC2021U2-Patch.msp
         Somme de contrôle
         (SHA256)
    6A175785A18BC4516FCC4A2D41B8CE6BCCA8F1684B04D1AA4202C510A7F17DB7
       

  3. Vérifiez que vous avez accès en écriture au répertoire d’installation ArcGIS.

  4. Double-cliquez surArcGIS-<Version>-S-SEC2021U2-Patch.msp pour lancer l’installation.

    REMARQUE : si l’installation ne démarre pas lorsque vous double-cliquez sur le fichier MSP, vous pouvez la lancer manuellement à l’aide de la commande suivante :


    msiexec.exe /p [emplacement du correctif]\ArcGIS-<Version>-S-SEC2021U2-Patch.msp


Installation du correctif sous Linux


Procédure d’installation :


Effectuez la procédure d’installation suivante en tant que propriétaire de l’installation ArcGIS. Le propriétaire de l’installation est le propriétaire du dossier ArcGIS.

Le produit ArcGIS répertorié dans la table doit être installé sur votre système avant d’installer un correctif. Le programme d’installation de chaque correctif est propre au produit ArcGIS de la liste. Pour savoir quels produits sont installés sur votre système, consultez la section Procédure d’identification des produits ArcGIS installés. Esri recommande d’installer le correctif pour chaque produit présent sur le système.

  1. Téléchargez le fichier approprié à un emplacement différent du répertoire d’installation ArcGIS.


    ArcGIS 10.9  
       
    ArcGIS Server ArcGIS-109-S-SEC2021U2-Patch-linux.tar
         Somme de contrôle
         (SHA256)
    B5D3E67A207B9D7D232D301DD79A27957B33A85A135CC06754EF6422B6CB5690
       
    ArcGIS 10.8.1  
       
    ArcGIS Server ArcGIS-1081-S-SEC2021U2-Patch-linux.tar
         Somme de contrôle
         (SHA256)
    435AED1AF08155F5B083672B2229750F9868B438F4DE9B7E55EA7A756C7A0A8D
       
    ArcGIS 10.7.1  
       
    ArcGIS Server ArcGIS-1071-S-SEC2021U2-Patch-linux.tar
         Somme de contrôle
         (SHA256)
    5D79D3B6132D6DA12EC90A14F4B3C9B7EB477BE0366ABB1E6ABCE1EDB5FECA25
       
    ArcGIS 10.6.1  
       
    ArcGIS Server ArcGIS-1061-S-SEC2021U2-Patch-linux.tar
         Somme de contrôle
         (SHA256)
    EE372C32637AB4ECA07468CBFCCB39C092E1B93E89E28BD6EDB1C6296689160B
       
  2. Vérifiez que vous disposez d’un accès en écriture au répertoire d’installation ArcGIS et que personne n’utilise ArcGIS.

  3. Extrayez le fichier *.tar spécifié en saisissant ce qui suit :


    % tar -xvf ArcGIS-<Version>-S-SEC2021U2-Patch-linux.tar

  4. Démarrez l’installation en saisissant ce qui suit :


    % ./applypatch

    Cette opération lance la boîte de dialogue de la procédure d’installation pilotée par menu. Les sélections par défaut sont notées entre parenthèses ( ). Pour quitter la procédure d’installation, appuyez sur la touche « q » à tout moment.


Mettre à niveau une géodatabase

Après l’application d’un correctif pour ArcGIS, il peut également être nécessaire de mettre à niveau votre géodatabase. Consultez la section Mettre à niveau la géodatabase sur la page Gestion des géodatabases de la plateforme de votre SGBD pour plus d’informations.


Désinstallation du correctif sous Windows


    Pour désinstaller ce correctif sous Windows, ouvrez le Panneau de configuration Windows et accédez aux programmes installés. Vérifiez que l’option « Afficher les mises à jour installées » (dans la partie supérieure gauche de la boîte de dialogue Programmes et fonctionnalités) est active. Sélectionnez le nom du correctif dans la liste des programmes et cliquez sur Désinstaller pour le supprimer.

Désinstallation du correctif sous Linux


    Pour supprimer ce correctif sur les versions 10.7 et ultérieures, accédez au répertoire <Répertoire d’installation du produit>/.Setup/qfe et exécutez le script suivant en tant que propriétaire de l’installation ArcGIS :


    ./removepatch.sh

    Le script removepatch.sh permet de désinstaller les correctifs précédemment installés. Utilisez l’indicateur de statut -s pour obtenir la liste des correctifs installés par date. Utilisez l’indicateur -q pour supprimer des correctifs dans l’ordre chronologique inverse de celui selon lequel ils ont été installés. Saisissez removepatch -h pour afficher l’aide sur la syntaxe.

    Redémarrez vos services ArcGIS.

Mises à jour du correctif

Consultez régulièrement la page Correctifs et service packs pour vous informer sur les correctifs supplémentaires disponibles. De nouvelles informations concernant ce correctif y seront publiées.

24 novembre 2021 Les installations Windows de ce correctif ont été mises à jour avec de nouvelles signatures numériques. Ce changement résout l’erreur d’installation possible :

Un certificat requis n’est pas en cours de validité lors de la vérification avec l’horloge système actuelle ou l’horodatage du fichier signé.

Procédure d’identification des produits ArcGIS installés

Pour savoir quels produits ArcGIS sont installés, sélectionnez la version de l’utilitaire PatchFinder correspondant à votre environnement, puis exécutez-le à partir de l’ordinateur local. PatchFinder répertorie tous les produits et les correctifs installés sur votre machine locale.

Obtenir de l’aide

Aux États-Unis, contactez le support technique d’Esri au 1-888-377-4575 si vous rencontrez des difficultés pour installer ce correctif. Dans les autres pays, contactez votre distributeur de logiciels Esri.