ArcGIS Enterprise でのセキュリティ脆弱性の警告

説明

ArcGIS Enterprise の Portal for ArcGIS コンポーネントに、SSRF (Server-Side Request Forgery) の問題を引き起こす重大な脆弱性が発見されました。 AWS (Amazon Web Services) のインフラストラクチャ上で実行される配置に既知の悪用ベクターがありますが、特定のクラウド プロバイダーによっては、他のクラウド環境で実行している顧客が影響を受けることがあります。ArcGIS Enterprise が実行されているかどうかにかかわらず、すべての ArcGIS Enterprise ソフトウェアの最新のパッチをインストールすることを常にお勧めします。

Windows と Linux の両方において、ArcGIS Enterprise 10.8 より前のすべてのバージョンが、このセキュリティの問題の影響を受けます。 ArcGIS Enterprise のバージョン 10.5 ～ 10.7.1 のすべての現在のバージョンに対し、パッチがリリースされています。 ArcGIS 10.3.x および 10.4.x は、開発終了バージョン サポート ステータスになっています。 開発終了バージョン サポート フェーズまたは廃止サポート フェーズにある製品に対するパッチは提供されていません。これに関する詳細は、「Esri 製品ライフサイクル ポリシー」をご参照ください。

原因

このパッチは、既知の不具合 BUG-000128058 に対処するためにリリースされたものです。

解決策または対処法

この脆弱性に対処するため、ArcGIS Enterprise を使用しているすべてのお客様が早い機会に Portal for ArcGIS Security 2020 Update 1 パッチをインストールすることを強くお勧めします。 このパッチは、ArcGIS Enterprise バージョン 10.5 ～ 10.7.1 に対して提供されており、Esri Support Web サイトからダウンロードできます。このパッチは、この問題の修正を、セキュリティ問題に関するその他の推奨される修正とともに含んでいます。 ArcGIS Enterprise 10.8 には修正が含まれているため、パッチは不要です。

このパッチおよびセキュリティの脆弱性の解決についてご質問がある場合は、Esri のテクニカル サポートに問い合わせて、この問題を解決してください。