Portal for ArcGIS Security 2018 Update 3 Patch

このセキュリティ パッチは、Portal for ArcGIS で見つかった複数のセキュリティの脆弱性に対処します。 Portal for ArcGIS 10.6.1、10.5.1、10.4.1、および 10.3.1 を使用しているすべてのお客様がこのパッチを適用することをお勧めします。

Esri® から、Portal for ArcGIS Security 2018 Update 3 Patch についてお知らせします。 Portal for ArcGIS 10.6.1、10.5.1、10.4.1、および 10.3.1 を使用しているすべてのお客様がこのパッチを適用することをお勧めします。 具体的には、このパッチは「このパッチで対処される問題」の下に示された問題に対処します。 このセキュリティ パッチは累積パッチで、「このパッチで対処される問題」の下にも示されている以前のパッチのセキュリティ関連の修正とセキュリティ関連以外の修正がいくつか含まれています。

このパッチで対処される問題

• BUG-000117369 - アイテム URL の反射型クロスサイト スクリプティング (XSS)
• BUG-000117564 - 権限のエスカレーションの脆弱性
• BUG-000117367 - Portal for ArcGIS の整合チェックされていないリダイレクト
• BUG-000112707 - Portal for ArcGIS Home アプリケーションの反射型クロスサイト スクリプティング (XSS) の脆弱性。
• ENH-000103213 - Portal for ArcGIS と Active Directory 間で暗号化通信を実施するオプションを追加します。

競合を避けるため、10.6.1 バージョンは以下にも対処します。

• BUG-000116870 - Insights ワークブック、ページ、モデル アイテムをすべてのユーザーに共有できません。
• BUG-000115859 - ズーム レベル 18 以降、選択したポリゴンの選択形状が、ArcGIS Server 10.6.1 からマップ サーバー レベルに追加されたマップ サービスのポリゴンの形状と異なります。
• BUG-000112342 - Geo Analytics Server が Geo Analytics Server としてポータルにフェデレートされ、登録されると、webgisdr 増分リストアが失敗します。

競合を避けるため、10.5.1 バージョンは以下にも対処します。

• BUG-000116992 - Portal for ArcGIS のマップ ビューアーで [バッファーの作成 (Create Buffers)] 解析ツールを構成するときに、異なるジオメトリ タイプ間で入力バッファー レイヤーを変更しても、使用可能なバッファー オプションが正しく更新されません。
• BUG-000114549 - 背景色が暗い場合、Web AppBuilder for ArcGIS の範囲ナビゲーターのアクティブ矢印と非アクティブ矢印のコントラストを増やす必要があります。
• BUG-000114489 - Keyhole Markup Language (KML) サーブレットが、プロキシ設定を完全に適用しません。
• BUG-000114488 - Portal for ArcGIS のインデックス サービスにセキュリティの脆弱性があります。
• BUG-000111424 - 描画、計測、座標ウィジェットを切り替えるとポップアップが表示されます。
• BUG-000113157 - バックアップに Thumbs.db ファイルが含まれている場合、Portal for ArcGIS はサイトをインポートできません。
• BUG-000112749 - ArcGIS Online Map Viewer の反射型クロスサイト スクリプティング (XSS)。
• BUG-000112595 - 共有ウィジェットの電子メール リンクをクリックすると、不要なブラウザー ナビゲーション プロンプトが表示されます。
• BUG-000112059 - Portal for ArcGIS で、ホスト フィーチャ レイヤーがポイント、ポリゴン、ポリライン、そしてポイントに戻る順番である場合、Web AppBuilder for ArcGIS の解析ウィジェットの [バッファー (Buffer)] ツールの [選択] オプションが動かなくなります。
• BUG-000112477 - [マーカーの追加] フィーチャ アクションが期待通りに動作しません。
• BUG-000112360 - Portal for ArcGIS Web Application Builder にクロスサイト スクリプティング (XSS) の脆弱性があります。
• BUG-000112358 - SOAP URL の無効な文字を削除するために、凡例リソースにサニタイズ URL を提供します。
• BUG-000112357 - Portal for ArcGIS の /portal/sharing/login および portal/sharing/rest/login エンドポイントで未検証のリダイレクトが発生します。
• BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer に反射型クロスサイト スクリプティング (XSS) の問題が発生します。
• BUG-000112088 - Portal for ArcGIS 10.5.1 Web マップのサイトの表示操作がイメージ サービスの属性を返しません。
• BUG-000112026 - Portal for ArcGIS Security 2018 Update 1 Patch の適用後に Portal for ArcGIS ホーム アプリケーションにサイン インする際にドメイン ユーザーが間違ったパスワードを入力すると、すべてのドメイン ユーザーが Portal for ArcGIS からロックアウトされます。
• BUG-000111942 - 別のユーザーが独自の Web マップを作成するためにフィルターを適用して共有されたフィーチャ レイヤーにアクセスした場合、シンボルはそのレイヤー上で保持されません。
• BUG-000110677 - ズーム アウトすると、過去に描画されたデータが画面から消去されません。
• BUG-000110632 - 関連する GeoEvent ベースのマップおよびフィーチャ サービスは、両方がマップ ビューアーのコンテンツ ウィンドウに追加されるときに両サービスは合併されるべきではない。
• BUG-000110291 - Portal for ArcGIS でエンティティ タグが解釈されない。
• BUG-000110290 - Portal for ArcGIS の内部データベースから不正なレコード エンティティを削除します。
• BUG-000111090 - Portal for ArcGIS の Web AppBuilder にあるデータ追加ウィジェットを使用して追加されたレイヤー上でレイヤー作成機能を使用すると、選択ウィジェットの選択が失われます。
• BUG-000111077 - Portal for ArcGIS の Web マップで非表示のレイヤーのラベルを編集すると、"Execution Error: Illegal Value Assignment to Feature" のエラーが発生する。
• BUG-000111058 - Arcade エディターが "fast.fonts.net" ドメインを呼び出すため、オフライン環境において著しい遅延が発生する。
• BUG-000110542 - Web AppBuilder for ArcGIS では、フィーチャが 1 つだけ選択された場合、[レイヤーの作成] オプションは有効になりません。
• BUG-000109870 - マップ ビューアーでは、縮小して、隣接していないエリアにポリゴンが分配される場合、ベクター タイルは縮尺設定範囲に従いません。
• BUG-000109517 - 10.5.1 Portal for ArcGIS マップビューアーでは、[マップ サービス公開に一意の数値 ID の割り当てを許可] 設定が指定されたマップ ドキュメントから公開されたマップサービスに対して、[ラベルの作成] パネルが機能しません。
• BUG-000108753 - ポータル層認証およびアカウントの自動作成を有効にして構成された Portal for ArcGIS は、利用可能なライセンス数以上のアカウントが生成される。
• BUG-000108364 - Portal for ArcGIS および Web App Builder Developer Edition のデータ追加ウィジェットが、CSV ファイルを参照した後にエラーを返します。
• BUG-000108155 - IWA (統合 Windows 認証) を構成した Portal for ArcGIS に ArcGIS Server がフェデレートされている場合、マップ ビューアーで認証トークンの期限が切れた後に、generateToken のリクエストを際限なく実行し続ける。
• BUG-000107814 - Portal for ArcGIS 10.5.1 では、ArcGIS Server 10.5.1 のマップ サービスでラベルの作成が動作しない。
• BUG-000107440 - Portal for ArcGIS では、実際のコンピューター名が証明書に記載されていない場合、portaladmin へのアクセスが許可されません。
• BUG-000107004 - Portal for ArcGIS 10.5.1 の Web AppBuilder を Internet Explorer で使用している場合に、[データの抽出タスク (Extract Data Task)] ジオプロセシング サービスを実行すると、エラーメッセージが返されます。
• BUG-000106909 - マップ サービスをフィルタリングしても、Web マップで属性テーブルがフィルタリングされません。
• BUG-000106917 - リクエストされたタイル上で証明書の不一致エラーにより HTTPS のみが有効化された場合、Portal for ArcGIS 10.5.1 のマップビューアーは Bing Roads ベース マップを読み込みません。
• BUG-000106874 - アタッチメントを有効化したレイヤーが含まれる Web マップの設定で、レイヤーによる場所の検索機能を設定すると、ポップアップにアタッチメントが表示されない。
• BUG-000106303 - Portal for ArcGIS では、セキュリティ構成の domainControllerAddress 設定が完全には適用されません。
• BUG-000105202 - 保存された証明書を使用してポータルのセキュリティで保護されたサービスにアクセスすると、プロキシ化されたトークンの生成リクエストでは、nonProxyHosts パラメーターが適用されません。
• BUG-000105062 - Portal for ArcGIS および Web App Builder Developer Edition のデータ追加ウィジェットが、圧縮されたシェープファイルを参照後に結果を描画しません。
• BUG-000104949 - WGS84 座標系のベースマップが、アイテム詳細の [範囲の設定] ダイアログ ボックスに描画されません。
• BUG-000103846 - Portal for ArcGIS に、ハードコーディングされた認証情報の脆弱性があります。

競合を避けるため、10.4.1 バージョンは以下にも対処します。

• BUG-000114489 - Keyhole Markup Language (KML) サーブレットが、プロキシ設定を完全に適用しません。
• BUG-000114325 - Chrome 67 に更新した後、Portal for ArcGIS 10.3.x および 10.4.x の複数のページが正しく表示されません。
• BUG-000112749 - ArcGIS Online Map Viewer の反射型クロスサイト スクリプティング (XSS)。
• BUG-000112360 - Portal for ArcGIS Web Application Builder にクロスサイト スクリプティング (XSS) の脆弱性があります。
• BUG-000112358 - SOAP URL の無効な文字を削除するために、凡例リソースにサニタイズ URL を提供します。
• BUG-000112357 - Portal for ArcGIS の /portal/sharing/login および portal/sharing/rest/login エンドポイントで未検証のリダイレクトが発生します。
• BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer に反射型クロスサイト スクリプティング (XSS) の問題が発生します。
• BUG-000110291 - Portal for ArcGIS でエンティティ タグが解釈されない。
• BUG-000110290 - Portal for ArcGIS の内部データベースから不正なレコード エンティティを削除します。
• BUG-000101562 - Apache Tomcat 7.0.73+ または 8.0.39+ で Java Web Adaptor を使用している場合、Portal for ArcGIS の [サイト設定] オプションにアクセスできません。
• BUG-000108753 - ポータル層認証およびアカウントの自動作成を有効にして構成された Portal for ArcGIS は、利用可能なライセンス数以上のアカウントが生成される。
• BUG-000108155 - IWA (統合 Windows 認証) を構成した Portal for ArcGIS に ArcGIS Server がフェデレートされている場合、マップ ビューアーで認証トークンの期限が切れた後に、generateToken のリクエストを際限なく実行し続ける。
• BUG-000104718 - 格納された認証情報でアイテムとしてタイル レイヤーが追加される場合、ArcGIS Online からのホスト タイル レイヤーのタイルは Portal for ArcGIS マップ ビューアーに表示されません。
• BUG-000104116 - エンタープライズ ログインを使用して Portal for ArcGIS にメンバーを追加すると、ユーザー名が 6 文字未満のユーザーは、Portal for ArcGIS にはそのような制限が実際には存在しない場合でも、追加されません。
• BUG-000103731 - 可用性が高いポータルの配置では、プライマリ ノードがコンテンツ ディレクトリへの接続を失った場合、プライマリ ノードは [新規サイトの作成] の状態に戻されます。
• BUG-000103700 - [ポータルへの匿名アクセスの許可] がオフの場合、ポータル ログイン ページがデフォルト言語ではなく英語で表示されます。
• BUG-000102927 - マップ ビューアーでレイヤーの表示が遅い場合、レイヤーが描画されると、レイヤーが応答しないことを示すメッセージが自動的に終了しません。
• BUG-000102793 - Portal for ArcGIS で、Active Directory のグループ構造が大きい場合に遅延が発生します。
• BUG-000100424 - Web AppBuilder for ArcGIS ジオプロセシング ウィジェットでは、ジオプロセシング サービスが [マップ サービスに結果を表示] パラメーターで公開されていると、出力テーブルが表示されません。
• BUG-000100420 - グループ レイヤーがオフでサブ レイヤーがオンのとき、マップサービスのフィーチャ レイヤーでアプリケーションを再び更新または起動した後、レイヤー リスト ウィジェットのレイヤーのチェックボックスは機能しません。
• BUG-000099447 - Firefox 49 または Chrome 54 にブラウザーを更新した後、Portal のホーム アプリケーションでファイルをアップロードできません。
• BUG-000098559 - Portal for ArcGIS の整合チェックされていないリダイレクト。
• BUG-000098482 - Portal for ArcGIS のクロスサイト スクリプティング (XSS) の問題。
• BUG-000098148 - エンタープライズ ユーザーとグループのメンバーシップの更新は、汎用グループのネストしたグループ メンバーシップの適用に失敗します。
• BUG-000098118 - Portal for ArcGIS で、内部情報が表示されます。
• BUG-000098025 - Portal for ArcGIS での URL リダイレクト ルールのバイパス。
• BUG-000097777 - WebContextURL プロパティを使用してリバース プロキシが定義されている場合、Portal for ArcGIS への SAML ログインを提供します。
• BUG-000096571 - セキュアな属性が Portal for ArcGIS の cookie に表示されません。
• BUG-000096570 - Portal for ArcGIS で反射型クロスサイト スクリプティング (XSS) が可能です。
• BUG-000096161 - Portal for ArcGIS マップ ビューアーで空間解析ツールを使用して解析を実行すると、「アイテムを更新できません」エラーが返されます。 このエラーは、ArcGIS Web Adaptor (または任意のリバース プロキシ) がホストされている ArcGIS Server とは異なるコンピューター上にあるときに発生します。
• BUG-000094537- 異なるドメイン内のグループと同じ名前を持つエンタープライズ グループに属する Active Directory ユーザーは、そのグループに属していない場合でも Portal for ArcGIS 10.4 へのアクセス権が付与されます。
• BUG-000094523 - クロス ドメイン ユーザーは、自分が Portal for ArcGIS 10.4 内のどのエンタープライズ メンバーであるかを確認できません。
• BUG-000091316 - 一部のポータルのアップロード操作では、ファイル タイプの整合チェックが正しく行われません。
• ENH-000092759 - 最小長が 3 文字のエンタープライズ ユーザー名をサポートします。
• NIM104313 - Portal for ArcGIS でエンタープライズ ユーザーをログアウトしても、そのユーザー ログアウトは対応する SAML ID プロバイダーに反映されません。

競合を避けるため、10.3.1 バージョンは以下にも対処します。

• BUG-000114489 - Keyhole Markup Language (KML) サーブレットが、プロキシ設定を完全に適用しません。
• BUG-000114325 - Chrome 67 に更新した後、Portal for ArcGIS 10.3.x および 10.4.x の複数のページが正しく表示されません。
• BUG-000112749 - ArcGIS Online Map Viewer の反射型クロスサイト スクリプティング (XSS)。
• BUG-000112360 - Portal for ArcGIS Web Application Builder にクロスサイト スクリプティング (XSS) の脆弱性があります。
• BUG-000112358 - SOAP URL の無効な文字を削除するために、凡例リソースにサニタイズ URL を提供します。
• BUG-000112357 - Portal for ArcGIS の /portal/sharing/login および portal/sharing/rest/login エンドポイントで未検証のリダイレクトが発生します。
• BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer に反射型クロスサイト スクリプティング (XSS) の問題が発生します。
• BUG-000110291 - Portal for ArcGIS でエンティティ タグが解釈されない。
• BUG-000110290 - Portal for ArcGIS の内部データベースから不正なレコード エンティティを削除します。
• BUG-000108753 - ポータル層認証およびアカウントの自動作成を有効にして構成された Portal for ArcGIS は、利用可能なライセンス数以上のアカウントが生成される。
• BUG-000108155 - IWA (統合 Windows 認証) を構成した Portal for ArcGIS に ArcGIS Server がフェデレートされている場合、マップ ビューアーで認証トークンの期限が切れた後に、generateToken のリクエストを際限なく実行し続ける。
• BUG-000101456 - Portal for ArcGIS コンピューター以外の Web サーバーでホストされている Web AppBuilder for ArcGIS アプリケーションは、Portal for ArcGIS が IWA (統合 Windows 認証) を使用してセキュリティ保護されている場合、30 分のアイドル時間後にフィーチャ レイヤーの表示に失敗します。
• BUG-000099447 - Firefox 49 または Chrome 54 にブラウザーを更新した後、Portal のホーム アプリケーションでファイルをアップロードできません。
• BUG-000098559 - Portal for ArcGIS の整合チェックされていないリダイレクト。
• BUG-000098482 - Portal for ArcGIS のクロスサイト スクリプティング (XSS) の問題。
• BUG-000098118 - Portal for ArcGIS で、内部情報が表示されます。
• BUG-000098025 - Portal for ArcGIS での URL リダイレクト ルールのバイパス。
• BUG-000097640 - ベースマップ ギャラリー ウィジェットは、ベースマップとしてキャッシュ イメージ サービスで使用されると、タイルの要求ではなくエクスポート イメージ リクエストを送信します。
• BUG-000096889 - ポータルの IP アドレスが異なる 2 つの完全修飾ドメイン名に解決されると、ArcGIS Server は Portal for ArcGIS と通信できません。
• BUG-000096571 - セキュアな属性が Portal for ArcGIS の cookie に表示されません。
• BUG-000096570 - Portal for ArcGIS で反射型クロスサイト スクリプティング (XSS) が可能です。
• BUG-000094105 - ポータルの generatetoken 処理は、クエリ パラメーターにユーザー名またはパスワードを含む POST リクエストの処理に失敗します。
• BUG-000092447 - Tomcat 脆弱性 CVE-2014-0099 - 整数オーバーフロー攻撃。
• BUG-000092445 - Tomcat 脆弱性、「CVE-2014-0230 - スレッド消費を介したサービス妨害攻撃」。
• BUG-000091354 - ポータルは、ポータル サーバーが配置されたドメインの外にあるユーザーのメンバーシップの更新に失敗します。
• BUG-000091316 - 一部のポータルのアップロード操作では、ファイル タイプの整合チェックが正しく行われません。
• BUG-000090845 - Tomcat の内部シャットダウン ポートへのアクセスが制限されます。
• BUG-000090552 - Portal for ArcGIS 10.3.1 内のアイテムの URL 設定を編集するとき、アイテムの URL は保存されず、元に戻りません。 (Linux のみ)
• BUG-000090024 - Portal for ArcGIS で、個別のレイヤー ID を使用した、マップ サービスのフィーチャ レイヤーのポップアップを構成できません。
• BUG-000088826 - 10.3 以前からアップグレードした後で、Portal for ArcGIS の組み込みのポータル アカウントのパスワードを変更することができません。
• BUG-000088682 - ポータルが SSL のみに構成されている場合、Web AppBuilder の URL は、HTTPs ではなく HTTP として保存されます。
• BUG-000088663 - ArcGIS for Server WMTS サーバー以外のサーバーから WGS84 を使用する Web Map Tile Service (WMTS) サービスを Portal for ArcGIS のベースマップとして構成すると、World Geocode Service からのジオコード結果が間違った位置に表示されます。
• BUG-000088505 - 共有コンテンツ フォルダーが利用できない場合、高可用性で構成されたポータルをスタンドアロン ポータルにリセットしてはなりません。
• BUG-000086481 - マップ ビューアーでホスト フィーチャ サービスを再投影するときに誤ったジオメトリが表示されます。
• BUG-000085589 - ポータルと ArcGIS Server が IWA (統合 Windows 認証) を使用するように構成され、両方の Web Adaptor が同じサーバーに配置されている場合、ポータルの Web マップに直接追加されたマップ レイヤーを表示できません。
• BUG-000085482- Portal for ArcGIS 10.3 のフィーチャ レイヤーで値を検索するとき supportsPagination パラメーターが無視されると障害が発生します。
• BUG-000084180 - Portal for ArcGIS では、ユーザー プロフィールを編集すると、[名] と [姓] のテキスト フィールドが [マイ プロフィールの編集] ページに空白で表示されます。

Windows でのこのパッチのインストール

インストール手順:

このパッチをインストールする前に、Portal for ArcGIS 10.6.1、10.5.1、10.4.1、または 10.3.1 をインストールする必要があります。

1. 適切なファイルを ArcGIS のインストール場所以外の場所にダウンロードします。
   
   

2. Portal for ArcGIS		チェックサム (Md5)
   10.6.1	ArcGIS-1061-PFA-SEC2018U3-Patch.msp	75E7CB993A48F676967056F71FCE77B9
   10.5.1	ArcGIS-1051-PFA-SEC2018U3-Patch.msp	988C85C9CB119EE93073AFA9CDDC6298
   10.4.1	ArcGIS-1041-PFA-SEC2018U3-Patch.msp	A2C59FC73B68DD76A9DCEE46C47FDCBE
   10.3.1	ArcGIS-1031-PFA-SEC2018U3-Patch.msp	02218DB8DF9465B9129792D0E6BB7263

   
   
3. ArcGIS のインストール場所に対して書き込み権限があることを確認します。
4. 
   
5. ArcGIS-<バージョン>-PFA-SEC2018U3-Patch.msp をダブルクリックしてセットアップ処理を開始します。
   
   注意: MSP ファイルをダブルクリックしてもセットアップのインストールが開始されない場合は、次のコマンドを使用して手動でセットアップのインストールを開始することができます。
   
   msiexec.exe /p [パッチの場所]\ArcGIS-<バージョン>-PFA-SEC2018U3-Patch.msp
   
6. 
   

Linux でのこのパッチのインストール

インストール手順:

ArcGIS インストール権限を持つユーザーとして、以下のインストール手順を実施します。 インストール権限をもつユーザーは、arcgis フォルダーの所有者です。

このパッチをインストールする前に、Portal for ArcGIS 10.6.1、10.5.1、10.4.1、または 10.3.1 をインストールする必要があります。

1. 適切なファイルを ArcGIS のインストール場所以外の場所にダウンロードします。
   
   
   

   Portal for ArcGIS		チェックサム (Md5)
   10.6.1	ArcGIS-1061-PFA-SEC2018U3-Patch-linux.tar	C835DAE0805D020CC50A70FCA602FE11
   10.5.1	ArcGIS-1051-PFA-SEC2018U3-Patch-linux.tar	83EFD9403CA246E29E52FA38511D5C30
   10.4.1	ArcGIS-1041-PFA-SEC2018U3-Patch-linux.tar	5C6BD7F6314502B53C955EB1F59C5EAC
   10.3.1	ArcGIS-1031-PFA-SEC2018U3-Patch-linux.tar	19C274009BF572AC88DD6B96AB8D192B

   
   
2. ArcGIS のインストール場所への書き込み権限があり、他のユーザーが ArcGIS を使用していないことを確認します。
3. 
   
4. 以下のように入力して、指定した tar ファイルを抽出します。
   
   % tar -xvf ArcGIS-<バージョン>-PFA-SEC2018U3-Patch-linux.tar
5. 
   
6. 以下のように入力して、インストールを開始します。
   
   % ./applypatch
   
   これによって、メニュー方式のインストール手順のダイアログが起動します。 デフォルトの選択が括弧内に示されています。インストール手順を終了する場合は、「q」を入力するといつでも終了できます。
7. 
   

Windows でのこのパッチのアンインストール

• Windows でこのパッチをアンインストールするには、Windows の [コントロール パネル] を開き、インストールされているプログラムに移動します。 [インストールされた更新プログラムを表示] ([プログラムと機能] ダイアログの左上) がアクティブであることを確認します。 プログラム一覧からパッチ名を選択し、[アンインストール] をクリックしてパッチを削除します。
  

Linux でのこのパッチのアンインストール

パッチの更新

インストールされている ArcGIS 製品の識別方法

お問い合わせ

Download ID:7660