avertissement de vulnérabilité de la sécurité dans ArcGIS Server

Description

Esri a découvert une vulnérabilité critique dans le composant ArcGIS Server d’ArcGIS Enterprise à l’origine d’un problème de fausse requête côté serveur (SSRF). Il existe un vecteur d’exploitation connu spécifique pour les déploiements exécutés sur une infrastructure dans Amazon Web Services (AWS), mais cette vulnérabilité peut s’appliquer à n’importe quel environnement, selon la configuration. Les clients courent le risque que des individus non autorisés accèdent à des informations internes. En fonction de la configuration de leur infrastructure, ils courent également le risque que des individus non autorisés prennent le contrôle d’administration ou obtiennent des informations sur leur infrastructure.

Toutes les versions antérieures à ArcGIS Server 10.8 à la fois sur Windows et Linux sont concernées par ce problème de sécurité. Esri a publié des correctifs pour toutes les versions prises en charge d’ArcGIS Server, depuis la version 10.4 à la version 10.7.1.

Cause

Ce correctif a été publié afin de résoudre un défaut connu, BUG-000128060 .

Solution ou alternative

Pour corriger cette vulnérabilité, Esri recommande fortement à tous ses clients exécutant ArcGIS Server d’installer le correctif ArcGIS Server Security 2020 Update 1 patch dans les meilleurs délais. Ce correctif est disponible pour ArcGIS Enterprise 10.4 à 10.7.1. et peut être téléchargé depuis le site Web de support Esri.Ce patch inclut un correctif pour ce problème ainsi que d’autres correctifs de sécurité recommandés. ArcGIS Server 10.8 inclut les correctifs et ne requiert pas de patch.

Pour toute question relative à ce patch et à la résolution de la vulnérabilité de sécurité, veuillez contacter le support technique Esri ou votre distributeur Esri (pour les clients hors des États-Unis) afin de résoudre ce problème.