日本語

Portal for ArcGIS Security 2019 Update 1 Patch

概要

このセキュリティ パッチは、Portal for ArcGIS で見つかった複数のセキュリティの脆弱性に対処します。 Portal for ArcGIS 10.6.1、10.5.1、および 10.4.1 を使用しているすべてのお客様がこのパッチを適用することをお勧めします。

説明

Esri® から、Portal for ArcGIS Security 2019 Update 1 Patch についてお知らせします。 Portal for ArcGIS 10.6.1、10.5.1、および 10.4.1 を使用しているすべてのお客様がこのパッチを適用することをお勧めします。 具体的には、このパッチは「このパッチで対処される問題」の下に示された問題に対処します。 具体的には、このパッチは「このパッチで対処される問題」の下に示された問題に対処します。

注意: このセキュリティ パッチは累積パッチで、「このパッチで対処される問題」の下にも示されている以前のパッチのセキュリティ関連の修正とセキュリティ関連以外の修正がいくつか含まれています。

このパッチで対処される問題


競合を避けるため、10.6.1 バージョンは以下にも対処します。
  • BUG-000120392 - Portal for ArcGIS 10.6.1 で、スマート エディター ウィジェットが属性アクション条件式の設定に失敗します。
  • BUG-000120061 - 同じフィーチャクラスに複数のリレーションシップがある場合、関連データが Web AppBuilder for ArcGIS と Portal for ArcGIS で同じフィーチャを参照します。
  • BUG-000117926 - ゲスト参加者のコンテンツ ディレクトリでクラウド ストアが使用されている場合に、コラボレーション ワークスペースを同期できません。
  • BUG-000117564 - 権限のエスカレーションの脆弱性
  • BUG-000117367 - Portal for ArcGIS の整合チェックされていないリダイレクト
  • BUG-000116870 - Insights ワークブック、ページ、モデル アイテムをすべてのユーザーに共有できません。
  • BUG-000115859 - ズーム レベル 18 以降、選択したポリゴンの選択形状が、ArcGIS Server 10.6.1 からマップ サーバー レベルに追加されたマップ サービスのポリゴンの形状と異なります。
  • BUG-000115964 - 外部コンテンツを無効にすると、アプリ ランチャーが使用できなくなります。
  • BUG-000112707 - Portal for ArcGIS Home アプリケーションの反射型クロスサイト スクリプティング (XSS) の脆弱性。
  • BUG-000112342 - Geo Analytics Server が Geo Analytics Server としてポータルにフェデレートされ、登録されると、webgisdr 増分リストアが失敗します。
  • ENH-000116621 - IDP が開始するログインの使用時に、Portal for ArcGIS にログインする際に生成されるトークンの最大有効期限を変更する機能を追加します。
  • ENH-000103213 - Portal for ArcGIS と Active Directory 間で暗号化通信を実施するオプションを追加します。
競合を避けるため、10.5.1 バージョンは以下にも対処します。
  • BUG-000117369 - アイテム URL の反射型クロスサイト スクリプティング (XSS)
  • BUG-000117564 - 権限のエスカレーションの脆弱性
  • BUG-000117367 - Portal for ArcGIS の整合チェックされていないリダイレクト
  • BUG-000116992 - Portal for ArcGIS のマップ ビューアーで [バッファーの作成 (Create Buffers)] 解析ツールを構成するときに、異なるジオメトリ タイプ間で入力バッファー レイヤーを変更しても、使用可能なバッファー オプションが正しく更新されません。
  • BUG-000114549 - 背景色が暗い場合、Web AppBuilder for ArcGIS の範囲ナビゲーターのアクティブ矢印と非アクティブ矢印のコントラストを増やす必要があります。
  • BUG-000114489 - Keyhole Markup Language (KML) サーブレットが、プロキシ設定を完全に適用しません。
  • BUG-000114488 - Portal for ArcGIS のインデックス サービスにセキュリティの脆弱性があります。
  • BUG-000111424 - 描画、計測、座標ウィジェットを切り替えるとポップアップが表示されます。
  • BUG-000113157 - バックアップに Thumbs.db ファイルが含まれている場合、Portal for ArcGIS はサイトをインポートできません。
  • BUG-000112707 - Portal for ArcGIS Home アプリケーションの反射型クロスサイト スクリプティング (XSS) の脆弱性。
  • BUG-000112749 - ArcGIS Online Map Viewer の反射型クロスサイト スクリプティング (XSS)。
  • BUG-000112595 - 共有ウィジェットの電子メール リンクをクリックすると、不要なブラウザー ナビゲーション プロンプトが表示されます。
  • BUG-000112059 - Portal for ArcGIS で、ホスト フィーチャ レイヤーがポイント、ポリゴン、ポリライン、そしてポイントに戻る順番である場合、Web AppBuilder for ArcGIS の解析ウィジェットの [バッファー (Buffer)] ツールの [選択] オプションが動かなくなります。
  • BUG-000112477 - [マーカーの追加] フィーチャ アクションが期待通りに動作しません。
  • BUG-000112360 - Portal for ArcGIS Web Application Builder にクロスサイト スクリプティング (XSS) の脆弱性があります。
  • BUG-000112358 - SOAP URL の無効な文字を削除するために、凡例リソースにサニタイズ URL を提供します。
  • BUG-000112357 - Portal for ArcGIS の /portal/sharing/login および portal/sharing/rest/login エンドポイントで未検証のリダイレクトが発生します。
  • BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer に反射型クロスサイト スクリプティング (XSS) の問題が発生します。
  • BUG-000112088 - Portal for ArcGIS 10.5.1 Web マップのサイトの表示操作がイメージ サービスの属性を返しません。
  • BUG-000112026 - Portal for ArcGIS Security 2018 Update 1 Patch の適用後に Portal for ArcGIS ホーム アプリケーションにサイン インする際にドメイン ユーザーが間違ったパスワードを入力すると、すべてのドメイン ユーザーが Portal for ArcGIS からロックアウトされます。
  • BUG-000111942 - 別のユーザーが独自の Web マップを作成するためにフィルターを適用して共有されたフィーチャ レイヤーにアクセスした場合、シンボルはそのレイヤー上で保持されません。
  • BUG-000110677 - ズーム アウトすると、過去に描画されたデータが画面から消去されません。
  • BUG-000110632 - 関連する GeoEvent ベースのマップおよびフィーチャ サービスは、両方がマップ ビューアーのコンテンツ ウィンドウに追加されるときに両サービスは合併されるべきではない。
  • BUG-000110291 - Portal for ArcGIS でエンティティ タグが解釈されない。
  • BUG-000110290 - Portal for ArcGIS の内部データベースから不正なレコード エンティティを削除します。
  • BUG-000111090 - Portal for ArcGIS の Web AppBuilder にあるデータ追加ウィジェットを使用して追加されたレイヤー上でレイヤー作成機能を使用すると、選択ウィジェットの選択が失われます。
  • BUG-000111077 - Portal for ArcGIS の Web マップで非表示のレイヤーのラベルを編集すると、"Execution Error: Illegal Value Assignment to Feature" のエラーが発生する。
  • BUG-000111058 - Arcade エディターが "fast.fonts.net" ドメインを呼び出すため、オフライン環境において著しい遅延が発生する。
  • BUG-000110542 - Web AppBuilder for ArcGIS では、フィーチャが 1 つだけ選択された場合、[レイヤーの作成] オプションは有効になりません。
  • BUG-000109870 - マップ ビューアーでは、縮小して、隣接していないエリアにポリゴンが分配される場合、ベクター タイルは縮尺設定範囲に従いません。
  • BUG-000109517 - 10.5.1 Portal for ArcGIS マップビューアーでは、[マップ サービス公開に一意の数値 ID の割り当てを許可] 設定が指定されたマップ ドキュメントから公開されたマップサービスに対して、[ラベルの作成] パネルが機能しません。
  • BUG-000108753 - ポータル層認証およびアカウントの自動作成を有効にして構成された Portal for ArcGIS は、利用可能なライセンス数以上のアカウントが生成される。
  • BUG-000108364 - Portal for ArcGIS および Web App Builder Developer エディションのデータ追加ウィジェットが、CSV ファイルを参照した後にエラーを返します。
  • BUG-000108155 - IWA (統合 Windows 認証) を構成した Portal for ArcGIS に ArcGIS Server がフェデレートされている場合、マップ ビューアーで認証トークンの期限が切れた後に、generateToken のリクエストを際限なく実行し続ける。
  • BUG-000107814 - Portal for ArcGIS 10.5.1 では、ArcGIS Server 10.5.1 のマップ サービスでラベルの作成が動作しない。
  • BUG-000107440 - Portal for ArcGIS では、実際のコンピューター名が証明書に記載されていない場合、portaladmin へのアクセスが許可されません。
  • BUG-000107004 - Portal for ArcGIS 10.5.1 の Web AppBuilder を Internet Explorer で使用している場合に、[データの抽出タスク (Extract Data Task)] ジオプロセシング サービスを実行すると、エラーメッセージが返されます。
  • BUG-000106909 - マップ サービスをフィルタリングしても、Web マップで属性テーブルがフィルタリングされません。
  • BUG-000106917 - リクエストされたタイル上で証明書の不一致エラーにより HTTPS のみが有効化された場合、Portal for ArcGIS 10.5.1 のマップビューアーは Bing Roads ベース マップを読み込みません。
  • BUG-000106874 - アタッチメントを有効化したレイヤーが含まれる Web マップの設定で、レイヤーによる場所の検索機能を設定すると、ポップアップにアタッチメントが表示されない。
  • BUG-000106303 - Portal for ArcGIS では、セキュリティ構成の domainControllerAddress 設定が完全には適用されません。
  • BUG-000105202 - 保存された証明書を使用してポータルのセキュリティで保護されたサービスにアクセスすると、プロキシ化されたトークンの生成リクエストでは、nonProxyHosts パラメーターが適用されません。
  • BUG-000105062 - Portal for ArcGIS および Web App Builder Developer エディションのデータ追加ウィジェットが、圧縮されたシェープファイルを参照後に結果を描画しません。
  • BUG-000104949 - WGS84 座標系のベースマップが、アイテム詳細の [範囲の設定] ダイアログ ボックスに描画されません。
  • BUG-000103846 - Portal for ArcGIS に、ハードコーディングされた認証情報の脆弱性があります。
  • ENH-000103213 - Portal for ArcGIS と Active Directory 間で暗号化通信を実施するオプションを追加します。
競合を避けるため、10.4.1 バージョンは以下にも対処します。
  • BUG-000117369 - アイテム URL の反射型クロスサイト スクリプティング (XSS)
  • BUG-000117564 - 権限のエスカレーションの脆弱性
  • BUG-000117367 - Portal for ArcGIS の整合チェックされていないリダイレクト
  • BUG-000114489 - Keyhole Markup Language (KML) サーブレットが、プロキシ設定を完全に適用しません。
  • BUG-000114325 - Chrome 67 に更新した後、Portal for ArcGIS 10.3.x および 10.4.x の複数のページが正しく表示されません。
  • BUG-000112749 - ArcGIS Online Map Viewer の反射型クロスサイト スクリプティング (XSS)。
  • BUG-000112707 - Portal for ArcGIS Home アプリケーションの反射型クロスサイト スクリプティング (XSS) の脆弱性。
  • BUG-000112360 - Portal for ArcGIS Web Application Builder にクロスサイト スクリプティング (XSS) の脆弱性があります。
  • BUG-000112358 - SOAP URL の無効な文字を削除するために、凡例リソースにサニタイズ URL を提供します。
  • BUG-000112357 - Portal for ArcGIS の /portal/sharing/login および portal/sharing/rest/login エンドポイントで未検証のリダイレクトが発生します。
  • BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer に反射型クロスサイト スクリプティング (XSS) の問題が発生します。
  • BUG-000110291 - Portal for ArcGIS でエンティティ タグが解釈されない。
  • BUG-000110290 - Portal for ArcGIS の内部データベースから不正なレコード エンティティを削除します。
  • BUG-000101562 - Apache Tomcat 7.0.73+ または 8.0.39+ で Java Web Adaptor を使用している場合、Portal for ArcGIS の [サイト設定] オプションにアクセスできません。
  • BUG-000108753 - ポータル層認証およびアカウントの自動作成を有効にして構成された Portal for ArcGIS は、利用可能なライセンス数以上のアカウントが生成される。
  • BUG-000108155 - IWA (統合 Windows 認証) を構成した Portal for ArcGIS に ArcGIS Server がフェデレートされている場合、マップ ビューアーで認証トークンの期限が切れた後に、generateToken のリクエストを際限なく実行し続ける。
  • BUG-000104718 - 格納された認証情報でアイテムとしてタイル レイヤーが追加される場合、ArcGIS Online からのホスト タイル レイヤーのタイルは Portal for ArcGIS マップ ビューアーに表示されません。
  • BUG-000104116 - エンタープライズ ログインを使用して Portal for ArcGIS にメンバーを追加すると、ユーザー名が 6 文字未満のユーザーは、Portal for ArcGIS にはそのような制限が実際には存在しない場合でも、追加されません。
  • BUG-000103731 - 可用性が高いポータルの配置では、プライマリ ノードがコンテンツ ディレクトリへの接続を失った場合、プライマリ ノードは [新規サイトの作成] の状態に戻されます。
  • BUG-000103700 - [ポータルへの匿名アクセスの許可] がオフの場合、ポータル ログイン ページがデフォルト言語ではなく英語で表示されます。
  • BUG-000102927 - マップ ビューアーでレイヤーの表示が遅い場合、レイヤーが描画されると、レイヤーが応答しないことを示すメッセージが自動的に終了しません。
  • BUG-000102793 - Portal for ArcGIS で、Active Directory のグループ構造が大きい場合に遅延が発生します。
  • BUG-000100424 - Web AppBuilder for ArcGIS ジオプロセシング ウィジェットでは、ジオプロセシング サービスが [マップ サービスに結果を表示] パラメーターで公開されていると、出力テーブルが表示されません。
  • BUG-000100420 - グループ レイヤーがオフでサブ レイヤーがオンのとき、マップサービスのフィーチャ レイヤーでアプリケーションを再び更新または起動した後、レイヤー リスト ウィジェットのレイヤーのチェックボックスは機能しません。
  • BUG-000099447 - Firefox 49 または Chrome 54 にブラウザーを更新した後、Portal のホーム アプリケーションでファイルをアップロードできません。
  • BUG-000098559 - Portal for ArcGIS の整合チェックされていないリダイレクト。
  • BUG-000098482 - Portal for ArcGIS のクロスサイト スクリプティング (XSS) の問題。
  • BUG-000098148 - エンタープライズ ユーザーとグループのメンバーシップの更新は、汎用グループのネストしたグループ メンバーシップの適用に失敗します。
  • BUG-000098118 - Portal for ArcGIS で、内部情報が表示されます。
  • BUG-000098025 - Portal for ArcGIS での URL リダイレクト ルールのバイパス。
  • BUG-000097777 - WebContextURL プロパティを使用してリバース プロキシが定義されている場合、Portal for ArcGIS への SAML ログインを提供します。
  • BUG-000096571 - セキュアな属性が Portal for ArcGIS の cookie に表示されません。
  • BUG-000096570 - Portal for ArcGIS で反射型クロスサイト スクリプティング (XSS) が可能です。
  • BUG-000096161 - Portal for ArcGIS マップ ビューアーで空間解析ツールを使用して解析を実行すると、「アイテムを更新できません」エラーが返されます。 このエラーは、ArcGIS Web Adaptor (または任意のリバース プロキシ) がホストされている ArcGIS Server とは異なるコンピューター上にあるときに発生します。
  • BUG-000094537- 異なるドメイン内のグループと同じ名前を持つエンタープライズ グループに属する Active Directory ユーザーは、そのグループに属していない場合でも Portal for ArcGIS 10.4 へのアクセス権が付与されます。
  • BUG-000094523 - クロス ドメイン ユーザーは、自分が Portal for ArcGIS 10.4 内のどのエンタープライズ メンバーであるかを確認できません。
  • BUG-000091316 - 一部のポータルのアップロード操作では、ファイル タイプの整合チェックが正しく行われません。
  • ENH-000103213 - Portal for ArcGIS と Active Directory 間で暗号化通信を実施するオプションを追加します。
  • ENH-000092759 - 最小長が 3 文字のエンタープライズ ユーザー名をサポートします。
  • NIM104313 - Portal for ArcGIS でエンタープライズ ユーザーをログアウトしても、そのユーザー ログアウトは対応する SAML ID プロバイダーに反映されません。

Windows でのこのパッチのインストール


インストール手順:


パッチをインストールするには、この表にリストされた ArcGIS 製品がシステムに事前にインストールされている必要があります。 それぞれのパッチ セットアップはリストの ArcGIS 製品のみを対象としています。 どの製品がシステムにインストールされているかを確認するには、「インストールされている ArcGIS 製品の識別方法」をご参照ください。 ご使用のシステムにインストール済みの製品ごとにパッチをインストールすることをお勧めします。

  1. 適切なファイルを ArcGIS のインストール場所以外の場所にダウンロードします。

  2. ArcGIS 10.6.1   チェックサム (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch.msp 51EF857E8B4525DFEE08048FBC89B5DC
         
    ArcGIS 10.5.1   チェックサム (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch.msp E3B68D2062256231C5B194CBC867C7C0
         
    ArcGIS 10.4.1   チェックサム (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch.msp B4BD88CE425D928321C44F5FE6743FE1
         

  3. ArcGIS のインストール場所に対して書き込み権限があることを確認します。

  4. ArcGIS-<バージョン>-PFA-SEC2019U1-Patch.msp をダブルクリックしてセットアップ処理を開始します。

    注意: MSP ファイルをダブルクリックしてもセットアップのインストールが開始されない場合は、次のコマンドを使用して手動でセットアップのインストールを開始することができます。

    msiexec.exe /p [パッチの場所]\ArcGIS-<バージョン>-PFA-SEC2019U1-Patch.msp


Linux でのこのパッチのインストール


インストール手順:


ArcGIS インストール権限を持つユーザーとして、以下のインストール手順を実施します。 インストール権限をもつユーザーは、arcgis フォルダーの所有者です。

パッチをインストールするには、この表にリストされた ArcGIS 製品がシステムに事前にインストールされている必要があります。 それぞれのパッチ セットアップはリストの ArcGIS 製品のみを対象としています。 どの製品がシステムにインストールされているかを確認するには、「インストールされている ArcGIS 製品の識別方法」をご参照ください。 ご使用のシステムにインストール済みの製品ごとにパッチをインストールすることをお勧めします。

  1. 適切なファイルを ArcGIS のインストール場所以外の場所にダウンロードします。


    ArcGIS 10.6.1   チェックサム (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch-linux.tar DFFE5A971B8D2EF4124BE0E659782F80
         
    ArcGIS 10.5.1   チェックサム (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch-linux.tar 342660988AD4393D9EB45A5D59D6C876
         
    ArcGIS 10.4.1   チェックサム (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch-linux.tar BC31A417DC58A3751366FE5AF5A0E65F
         

  2. ArcGIS のインストール場所への書き込み権限があり、他のユーザーが ArcGIS を使用していないことを確認します。

  3. 以下のように入力して、指定した tar ファイルを抽出します。

    % tar -xvf ArcGIS-<バージョン>-PFA-SEC2019U1-Patch-linux.tar

  4. 以下のように入力して、インストールを開始します。

    % ./applypatch

    これによって、メニュー方式のインストール手順のダイアログが起動します。 デフォルトの選択が括弧内に示されています。インストール手順を終了する場合は、「q」を入力するといつでも終了できます。

Windows でのこのパッチのアンインストール


    Windows でこのパッチをアンインストールするには、Windows の [コントロール パネル] を開き、インストールされているプログラムに移動します。 [インストールされた更新プログラムを表示] ([プログラムと機能] ダイアログの左上) がアクティブであることを確認します。 プログラム一覧からパッチ名を選択し、[アンインストール] をクリックしてパッチを削除します。

Linux でのこのパッチのアンインストール


このパッチのアンインストールは、バージョン 10.6 以降でのみ使用できます。 このパッチを削除するには、/tmp ディレクトリに移動し、次のスクリプトを ArcGIS インストール権限を持つユーザーとして実行します。

./patchremove

注意: 直前にインストールされたパッチのみを削除できます。

CVSS バージョン 3.0 の評価

Esri は現在、パッチで対処されたセキュリティ問題のそれぞれに CVSS (共通脆弱性評価システム) スコアを付与し、問題の重要度をランク付けしています。 下の表に、ランク付けの概要を示します。

重要度 基本値の範囲
なし 0.0
0.1 ~ 3.9
ミディアム 4.0 ~ 6.9
7.0 ~ 8.9
重要 9.0 ~ 10.0

パッチの更新

追加のパッチがリリースされていないか、パッチおよびサービス パックのページを定期的に確認してください。 このパッチについての新しい情報が、このページに掲載されます。

インストールされている ArcGIS 製品の識別方法

どの ArcGIS 製品がインストールされているかを確認するには、ご利用の環境にあった適切なバージョンの PatchFinder ユーティリティを選択して、ローカル コンピューターから実行します。 PatchFinder には、ローカル コンピューターにインストールされているすべての製品、ホット フィックス、およびパッチが表示されます。

お問い合わせ

このパッチのインストールで問題が発生したときは、米国内の場合は Esri のテクニカル サポート (1-888-377-4575) までお問い合わせください。 米国外の場合は、お住まいの地域の Esri ソフトウェア販売代理店にお問い合わせください。