Português

Patch 1 de Atualização de Segurança 2019 do Portal for ArcGIS

Summary

Este patch de segurança elimina várias vulnerabilidades de segurança encontradas no Portal for ArcGIS. A Esri recomenda que todos os clientes que utilizam o Portal for ArcGIS 10.6.1, 10.5.1 e 10.4.1 apliquem esse patch.

Description

Esri® anuncia o Patch 1 de Atualização de Segurança 2019 do Portal for ArcGIS. A Esri recomenda que todos os clientes que utilizam o Portal for ArcGIS 10.6.1, 10.5.1 e 10.4.1 apliquem esse patch. Este patch lida especificamente com os problemas listados abaixo em Problemas corrigidos com este patch. Este patch lida especificamente com o problema listado abaixo em Problemas corrigidos com este patch.

Nota: Esse patch de segurança é cumulativo e inclui várias correções relacionadas à segurança e não à segurança de patches anteriores que também estão listados abaixo em Problemas corrigidos com este patch

Problemas corrigidos com este patch


Para evitar conflitos, a versão 10.6.1 também corrige:
  • BUG-000120392 - O widget Editor Inteligente falha ao Definir Expressões de Ação do Atributo no Portal for ArcGIS 10.6.1
  • BUG-000120061 - Os dados relacionados apontam para a mesma feição no Web AppBuilder for ArcGIS do Portal for ArcGIS quando há vários relacionamentos com a mesma classe de feição.
  • BUG-000117926 - Não é possível sincronizar as áreas de trabalho de colaboração quando o diretório de conteúdo do participante convidado utiliza um Cloud Store.
  • BUG-000117564 - Vulnerabilidade da escalonamento de privilégios
  • BUG-000117367 - Redirecionamento não validado no Portal for ArcGIS.
  • BUG-000116870 - Não foi possível compartilhar itens do Livros de Tarefas, Páginas e Modelos do Insights para Todos.
  • BUG-000115859 - A partir do nível de zoom 18, a forma de seleção de um polígono selecionado difere da forma do polígono para os serviços de mapa adicionados no nível do servidor de mapa a partir de um ArcGIS Server 10.6.1.
  • BUG-000115964 - O Iniciador de Aplicativos fica indisponível após a desativação do conteúdo externo.
  • BUG-000112707 - Script entre sites (XSS) refletido no aplicativo Inicial do Portal for ArcGIS.
  • BUG-000112342 - A restauração incremental do webgisdr falha quando o Geo Analytics Server é federado e registrado no Portal como Geo Analytics Server.
  • ENH-000116621 - Adicionar a capacidade de modificar o tempo máximo de expiração do token dos tokens gerados para entrar no Portal for ArcGIS ao utilizar logins iniciados pelo IDP.
  • ENH-000103213 - Adicionar uma opção para impor a comunicação criptografada entre o Portal for ArcGIS e o Active Directory.
Para evitar conflitos, a versão 10.5.1 também corrige:
  • BUG-000117369 - Script entre sites (XSS) refletido na URL do item
  • BUG-000117564 - Vulnerabilidade da escalonamento de privilégios
  • BUG-000117367 - Redirecionamento não validado no Portal for ArcGIS.
  • BUG-000116992 - Ao configurar a ferramenta de análise Criar Buffer no visualizador de mapa do Portal for ArcGIS, alterar a camada do buffer de entrada entre diferentes tipos de geometria não atualiza corretamente as opções de buffer disponíveis.
  • BUG-000114549 - O contraste entre as setas ativas e inativas do navegador de extensão no Web AppBuilder for ArcGIS deve ser aumentado quando comparado a planos de fundo escuros.
  • BUG-000114489 - O servlet do Keyhole Markup Language (KML) não respeita totalmente as configurações de proxy.
  • BUG-000114488 - O serviço de índice do Portal for ArcGIS tem uma vulnerabilidade de segurança.
  • BUG-000111424 - Pop-ups são exibidos ao alternar entre os widgets Desenhar, Medição e Coordenadas.
  • BUG-000113157 - A Importação de Site do Portal for ArcGIS falhará se a cópia de segurança tiver arquivos Thumbs.db.
  • BUG-000112707 - Script entre sites (XSS) refletido no aplicativo Inicial do Portal for ArcGIS.
  • BUG-000112749 - Script entre sites (XSS) refletido no Map Viewer do ArcGIS Online.
  • BUG-000112595 - Clicar no link de e-mail no widget Compartilhar exibe uma janela de navegação do navegador indesejada.
  • BUG-000112059 - No Portal for ArcGIS, as opções Selecionar da ferramenta Buffer no widget Análise do Web AppBuilder for ArcGIS permanecerão bloqueadas se as camadas de feição hospedadas estiverem na seguinte ordem: pontos, polígonos, polilinhas e voltar aos pontos.
  • BUG-000112477 - A ação Adicionar Feição de Marcador não funciona conforme o esperado.
  • BUG-000112360 - O Portal for ArcGIS Web Application Builder tem uma vulnerabilidade de script entre sites (XSS).
  • BUG-000112358 - Limpe as URLs fornecidas ao recurso de legenda para remover caracteres inválidos na URL de SOAP.
  • BUG-000112357 - Redirecionamento não validado nos parâmetros /portal/sharing/login e portal/sharing/rest/login do Portal for ArcGIS.
  • BUG-000112161 - O Web Viewer do Portal for ArcGIS CityEngine tem um problema de script entre sites (XSS) refletido.
  • BUG-000112088 - A operação Mostrar Tabela no mapa da web do Portal for ArcGIS 10.5.1 não retorna o atributo do serviço de imagem.
  • BUG-000112026 - Após aplicar o Patch 1 de Segurança 2018 do Portal for ArcGIS, ao entrar no aplicativo Inicial do Portal for ArcGIS, se um usuário de domínio digitar uma senha incorreta, todos os usuários de domínio serão bloqueados no Portal for ArcGIS.
  • BUG-000111942 - A simbologia não é mantida em uma camada de feição compartilhada quando um filtro é aplicado e a camada é acessada por outro usuário para criar seu próprio mapa da web.
  • BUG-000110677 - Dados desenhados anteriormente não são apagados da tela ao reduzir.
  • BUG-000110632 - O GeoEvent baseado em serviços de mapa e da feição que estejam relacionados não devem ser combinados quando ambos forem adicionados ao índice do Map Viewer.
  • BUG-000110291 - O Portal for ArcGIS não deve analisar tags de entidade.
  • BUG-000110290 - Remover entradas de registro inválidas do banco de dados interno do Portal for ArcGIS.
  • BUG-000111090 - O widget Selecionar perde a seleção ao utilizar a funcionalidade Criar Camada em uma camada adicionada por meio do widget Adicionar Dados no Web AppBuilder no Portal for ArcGIS.
  • BUG-000111077 - Erro de Execução: Atribuição de Valor Ilegal à Feição ao Editar Rótulos em um Mapa da Web do Portal com a Visibilidade da Camada desativada.
  • BUG-000111058 - O Editor do Arcade faz solicitações ao domínio "fast.fonts.net", causando atrasos significativos nas redes desconectadas.
  • BUG-000110542 - No Web AppBuilder for ArcGIS, a opção Criar Camada não será habilitada se somente uma feição estiver selecionada.
  • BUG-000109870 - No visualizador de mapa, os mosaicos de vetor não respeitam as configurações visíveis de escala ao reduzir e os polígonos são distribuídos em áreas não adjacentes.
  • BUG-000109517 - No Map Viewer do Portal for ArcGIS 10.5.1, o painel Criar Rótulos não funciona para serviços de mapa publicados a partir do documento de mapa com a configuração 'Permitir atribuição de IDs numéricos únicos para publicação do serviço de mapa' especificada.
  • BUG-000108753 - O Portal for ArcGIS configurado com autenticação de camada do portal e criação automática de conta habilitada criará contas que excederão o número de licenças disponíveis.
  • BUG-000108364 - O widget Adicionar Dados incluído no Portal for ArcGIS e na edição de Desenvolvedor do Web App Builder retorna um erro após navegar para um arquivo CSV.
  • BUG-000108155 - Solicitações infinitas de generateToken são ativadas no visualizador de mapa quando o token expira para um Portal configurado com Autenticação Integrada do Windows (IWA) e federado com ArcGIS Server.
  • BUG-000107814 - Criar Rótulos não funciona no Portal for ArcGIS 10.5.1 para Serviços de Mapa do ArcGIS Server 10.5.1.
  • BUG-000107440 - O Portal for ArcGIS proíbe o acesso ao portaladmin quando o nome real da máquina não está listado no certificado.
  • BUG-000107004 - Uma mensagem de erro é retornada ao executar o serviço de geoprocessamento Tarefa Extrair Dados no Web AppBuilder for ArcGIS do Portal for ArcGIS 10.5.1 no Internet Explorer.
  • BUG-000106909 - A filtragem de um serviço de mapa não filtra a tabela de atributos no mapa da web.
  • BUG-000106917 - O Map Viewer do Portal for ArcGIS 10.5.1 não carrega o Mapa Base Roads do Bing quando o HTTPS está ativado somente devido a erros de incompatibilidade do certificado nos mosaicos solicitados.
  • BUG-000106874 - Anexos não são preservados no pop-up em mapas da web ao utilizar a funcionalidade de pesquisar por camada.
  • BUG-000106303 - O Portal for ArcGIS não respeita totalmente a configuração 'domainControllerAddress' na configuração de segurança.
  • BUG-000105202 - Ao acessar um serviço protegido no Portal com credenciais salvas, a solicitação de token da geração em proxy não respeita o parâmetro nonProxyHosts.
  • BUG-000105062 - O widget Adicionar Dados incluído no Portal for ArcGIS e na edição de Desenvolvedor do Web App Builder falha ao desenhar os resultados após navegar até um shapefile compactado.
  • BUG-000104949 - Os mapas base no sistema de coordenadas WGS84 não são desenhados na caixa de diálogo Definir Extensão de Detalhes do Item.
  • BUG-000103846 - O Portal for ArcGIS tem uma vulnerabilidade de credencial codificada.
  • ENH-000103213 - Adicionar uma opção para impor a comunicação criptografada entre o Portal for ArcGIS e o Active Directory.
Para evitar conflitos, a versão 10.4.1 também corrige:
  • BUG-000117369 - Script entre sites (XSS) refletido na URL do item
  • BUG-000117564 - Vulnerabilidade da escalonamento de privilégios
  • BUG-000117367 - Redirecionamento não validado no Portal for ArcGIS.
  • BUG-000114489 - O servlet do Keyhole Markup Language (KML) não respeita totalmente as configurações de proxy.
  • BUG-000114325 - Várias páginas no Portal for ArcGIS 10.3.x e 10.4.x não são exibidas corretamente após a atualização para Chrome 67.
  • BUG-000112749 - Script entre sites (XSS) refletido no Map Viewer do ArcGIS Online.
  • BUG-000112707 - Script entre sites (XSS) refletido no aplicativo Inicial do Portal for ArcGIS.
  • BUG-000112360 - O Portal for ArcGIS Web Application Builder tem uma vulnerabilidade de script entre sites (XSS).
  • BUG-000112358 - Limpe as URLs fornecidas ao recurso de legenda para remover caracteres inválidos na URL de SOAP.
  • BUG-000112357 - Redirecionamento não validado nos parâmetros /portal/sharing/login e portal/sharing/rest/login do Portal for ArcGIS.
  • BUG-000112161 - O Web Viewer do Portal for ArcGIS CityEngine tem um problema de script entre sites (XSS) refletido.
  • BUG-000110291 - O Portal for ArcGIS não deve analisar tags de entidade.
  • BUG-000110290 - Remover entradas de registro inválidas do banco de dados interno do Portal for ArcGIS.
  • BUG-000101562 - Não foi possível acessar a opção "Editar Configurações" do Portal for ArcGIS ao utilizar o Java Web Adaptor com Apache Tomcat 7.0.73+ ou 8.0.39+.
  • BUG-000108753 - O Portal for ArcGIS configurado com autenticação de camada do portal e criação automática de conta habilitada criará contas que excederão o número de licenças disponíveis.
  • BUG-000108155 - Solicitações infinitas de generateToken são ativadas no visualizador de mapa quando o token expira para um Portal configurado com Autenticação Integrada do Windows (IWA) e federado com ArcGIS Server.
  • BUG-000104718 - Os mosaicos para uma camada de mosaico hospedada a partir do ArcGIS Online não são visíveis no visualizador de mapa do Portal for ArcGIS se a camada de mosaico for adicionada como um item com credenciais armazenadas.
  • BUG-000104116 - Ao adicionar membros no Portal for ArcGIS utilizando logins enterprise, usuários com nomes de usuário com menos de seis caracteres não são adicionados, mesmo que esse limite não exista realmente no Portal for ArcGIS.
  • BUG-000103731 - Em uma implantação do Portal altamente disponível, o nó primário reverte para o estado 'Criar Novo Site', se o nó primário perder a conexão com o diretório de conteúdo.
  • BUG-000103700 - A página de login do portal é exibida em Inglês, em vez do idioma padrão, se a opção 'Permitir acesso anônimo ao seu portal' estiver desmarcada.
  • BUG-000102927 - Quando uma camada é lenta para ser exibida no Map Viewer, a mensagem indicando que a camada está sem resposta não é descartada automaticamente quando a camada é desenhada.
  • BUG-000102793 - As grandes estruturas de grupos do Active Directory causam problemas de latência com o Portal for ArcGIS.
  • BUG-000100424 - O widget Geoprocessamento do Web AppBuilder for ArcGIS falha ao exibir a tabela de saída quando o serviço de geoprocessamento é publicado com o parâmetro 'Visualizar resultado com um serviço de mapa'.
  • BUG-000100420 - A caixa de seleção para camadas no widget Lista de Camadas não funciona após atualizar ou iniciar o aplicativo novamente para as camadas de feição do serviço de mapa quando a camada de grupo está desmarcada e as subcamadas estão marcadas.
  • BUG-000099447 - Não foi possível carregar arquivos no aplicativo inicial do Portal após atualizar o navegador para Firefox 49 ou Chrome 54.
  • BUG-000098559 – Redirecionamento não validado no Portal for ArcGIS.
  • BUG-000098482 - Problema de script entre sites (XSS) no Portal for ArcGIS.
  • BUG-000098148 - A atualização da associação para usuários e grupos enterprise falha ao respeitar a associação do grupo aninhado em grupos universais.
  • BUG-000098118 - O Portal for ArcGIS expõe informações internas.
  • BUG-000098025 - Ignorar a regra de redirecionamento da URL no Portal for ArcGIS.
  • BUG-000097777 - SAML de suporte entra no Portal for ArcGIS quando um proxy reverso é definido utilizando a propriedade WebContextURL.
  • BUG-000096571 - O atributo protegido não está presente em um cookie no Portal for ArcGIS.
  • BUG-000096570 - Script entre sites (XSS) refletido é possível no Portal for ArcGIS.
  • BUG-000096161 - O erro "Não foi possível atualizar o item" é retornado ao executar a análise utilizando as ferramentas de análise espacial no Map Viewer do Portal for ArcGIS. Este erro ocorre quando o ArcGIS Web Adaptor (ou qualquer proxy reverso) está em uma máquina diferente do ArcGIS Server de Hospedagem.
  • BUG-000094537- Usuários do Active Directory que pertencem a um grupo enterprise com o mesmo nome de um grupo em um domínio diferente têm acesso ao Portal for ArcGIS 10.4, mesmo que não pertençam ao grupo.
  • BUG-000094523 - Os usuários do Domínio Cruzado não podem visualizar quais grupos Enterprise eles são membros no Portal for ArcGIS 10.4.
  • BUG-000091316 - Algumas operações de transferência do Portal não validam o tipo de arquivo corretamente.
  • ENH-000103213 - Adicionar uma opção para impor a comunicação criptografada entre o Portal for ArcGIS e o Active Directory.
  • ENH-000092759 - Suporte para nomes de usuário enterprise com um comprimento mínimo de 3 caracteres.
  • NIM104313 - Sair de um usuário enterprise no Portal for ArcGIS não propaga a saída doo usuário para o Provedor de Identidade de SAML correspondente.

Instalando este patch no Windows


Etapas da Instalação:


O produto ArcGIS listado na tabela deve estar instalado no seu sistema antes que você possa instalar um patch. Cada configuração de patch é específica para o produto ArcGIS na lista. Para determinar quais produtos estão instalados no seu sistema, consulte a seção Como identificar quais produtos ArcGIS estão instalados . A Esri recomenda que você instale o patch para cada produto que está no seu sistema.

  1. Baixe o arquivo apropriado para um local diferente do local de instalação do ArcGIS.

  2. ArcGIS 10.6.1   Soma de Verificação (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch.msp 51EF857E8B4525DFEE08048FBC89B5DC
         
    ArcGIS 10.5.1   Soma de Verificação (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch.msp E3B68D2062256231C5B194CBC867C7C0
         
    ArcGIS 10.4.1   Soma de Verificação (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch.msp B4BD88CE425D928321C44F5FE6743FE1
         

  3. Certifique-se de ter acesso à escrita no local de instalação do ArcGIS.

  4. Clique duas vezes em ArcGIS--PFA-SEC2019U1-Patch.msp para iniciar o processo de instalação.

    NOTA: Se clicar duas vezes no arquivo MSP não iniciar a instalação, você poderá iniciar a instalação manualmente, utilizando o seguinte comando:

    msiexec.exe /p [local do Patch]\ArcGIS--PFA-SEC2019U1-Patch.msp


Instalando este patch no Linux


Etapas da Instalação:


Complete as seguintes etapas de instalação como proprietário da instalação do ArcGIS. O proprietário da Instalação é o proprietário da pasta arcgis.

O produto ArcGIS listado na tabela deve estar instalado no seu sistema antes que você possa instalar um patch. Cada configuração de patch é específica para o produto ArcGIS na lista. Para determinar quais produtos estão instalados no seu sistema, consulte a seção Como identificar quais produtos ArcGIS estão instalados . A Esri recomenda que você instale o patch para cada produto que está no seu sistema.

  1. Baixe o arquivo apropriado para um local diferente do local de instalação do ArcGIS.


    ArcGIS 10.6.1   Soma de Verificação (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch-linux.tar DFFE5A971B8D2EF4124BE0E659782F80
         
    ArcGIS 10.5.1   Soma de Verificação (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch-linux.tar 342660988AD4393D9EB45A5D59D6C876
         
    ArcGIS 10.4.1   Soma de Verificação (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch-linux.tar BC31A417DC58A3751366FE5AF5A0E65F
         

  2. Certifique-se de ter acesso à escrita no local de instalação do ArcGIS, e que ninguém esteja utilizando o ArcGIS.

  3. Extraia o arquivo tar especificado digitando:

    % tar -xvf ArcGIS--PFA-SEC2019U1-Patch-linux.tar

  4. Inicie a instalação digitando:

    % ./applypatch

    Isto iniciará o diálogo do menu dirigido ao procedimento da instalação. Seleções padrões são anotadas entre parênteses ( ). Para sair do procedimento da instalação, digite 'q' a qualquer momento.

Desinstalando este patch no Windows


    Para desinstalar esse patch no Windows, abra o Painel de Controle do Windows e navegue até os programas instalados. Verifique se "Exibir atualizações instaladas" (lado superior esquerdo do diálogo Programas e Recursos) está ativo. Selecione o nome do patch na lista de programas e clique em Desinstalar para remover o patch.

Desinstalando este patch no Linux


A desinstalação deste patch está disponível somente na versão 10.6 ou posterior. Para remover esse patch, navegue até o diretório /tmp e execute o seguinte script como proprietário da Instalação do ArcGIS:

./patchremove

Notas: Você pode remover somente o patch que foi instalado mais recentemente.

Pontuações do CVSS de Versão 3.0

A Esri agora inclui a pontuação do CVSS (Sistema de Pontuação de Vulnerabilidades Comum) em cada um dos problemas de segurança corrigidos no patch para fornecer uma maneira de classificar a gravidade dos problemas. A tabela abaixo descreve as classificações.

Severidade Intervalo de Pontuação Básico
Nenhum 0.0
Baixo 0.1 - 3.9
Médio 4.0 - 6.9
Alto 7.0 - 8.9
Crítico 9.0 - 10.0

Atualizações de Patch

Verifique a página Patches e Service Packs periodicamente para a disponibilidade de patches adicionais. Novas informações sobre este patch serão postadas aqui.

Como identificar quais produtos ArcGIS estão instalados

Para determinar quais produtos ArcGIS estão instalados, escolha a versão apropriada do utilitário PatchFinder para seu ambiente e execute-o de sua máquina local. O PatchFinder listará todos os produtos, pacotes de correção e patches instalados em sua máquina local.

Obtendo Ajuda

Sites nacionais, entre em contato com o Suporte Técnico da ESRI pelo número 1-888-377-4575, se tiver alguma dificuldade em instalar este patch. Sites internacionais, entrem em contato com o distribuidor de software local da Esri.