Patches and updates

Patch 3 de Atualização de Segurança 2018 do Portal for ArcGIS

Published: November 5, 2018

Sumário

Este patch de segurança elimina várias vulnerabilidades de segurança encontradas no Portal for ArcGIS. A Esri recomenda que todos os clientes que utilizam o Portal for ArcGIS 10.6.1, 10.5.1, 10.4.1 e 10.3.1 apliquem esse patch.

Descrição

Esri® anuncia o Patch 3 de Atualização de Segurança 2018 do Portal for ArcGIS. A Esri recomenda que todos os clientes que utilizam o Portal for ArcGIS 10.6.1, 10.5.1, 10.4.1 e 10.3.1 apliquem esse patch. Este patch lida especificamente com os problemas listados abaixo em Problemas corrigidos com este patch. Esse patch de segurança é cumulativo e inclui várias correções relacionadas à segurança e não à segurança de patches anteriores que também estão listados abaixo em Problemas corrigidos com este patch.


Problemas corrigidos com este patch


  • BUG-000117369 - Script entre sites (XSS) refletido na URL do item
  • BUG-000117564 - Vulnerabilidade da escalonamento de privilégios
  • BUG-000117367 - Redirecionamento não validado no Portal for ArcGIS.
  • BUG-000112707 - Script entre sites (XSS) refletido no aplicativo Inicial do Portal for ArcGIS.
  • ENH-000103213 - Adicionar uma opção para impor a comunicação criptografada entre o Portal for ArcGIS e o Active Directory.
Para evitar conflitos, a versão 10.6.1 também corrige:
  • BUG-000116870 - Não foi possível compartilhar itens do Livros de Tarefas, Páginas e Modelos do Insights para Todos.
  • BUG-000115859: A partir do nível de zoom 18, a forma de seleção de um polígono selecionado difere da forma do polígono para os serviços de mapa adicionados no nível do servidor de mapa a partir de um ArcGIS Server 10.6.1.
  • BUG-000112342: A restauração incremental do webgisdr falha quando o Geo Analytics Server é federado e registrado no Portal como Geo Analytics Server.
Para evitar conflitos, a versão 10.5.1 também corrige:
  • BUG-000116992 - Ao configurar a ferramenta de análise Criar Buffer no visualizador de mapa do Portal for ArcGIS, alterar a camada do buffer de entrada entre diferentes tipos de geometria não atualiza corretamente as opções de buffer disponíveis.
  • BUG-000114549 - O contraste entre as setas ativas e inativas do navegador de extensão no Web AppBuilder for ArcGIS deve ser aumentado quando comparado a planos de fundo escuros.
  • BUG-000114489 - O servlet do Keyhole Markup Language (KML) não respeita totalmente as configurações de proxy.
  • BUG-000114488 - O serviço de índice do Portal for ArcGIS tem uma vulnerabilidade de segurança.
  • BUG-000111424 - Pop-ups são exibidos ao alternar entre os widgets Desenhar, Medição e Coordenadas.
  • BUG-000113157 - A Importação de Site do Portal for ArcGIS falhará se a cópia de segurança tiver arquivos Thumbs.db.
  • BUG-000112749 - Script entre sites (XSS) refletido no Map Viewer do ArcGIS Online.
  • BUG-000112595 - Clicar no link de e-mail no widget Compartilhar exibe uma janela de navegação do navegador indesejada.
  • BUG-000112059 - No Portal for ArcGIS, as opções Selecionar da ferramenta Buffer no widget Análise do Web AppBuilder for ArcGIS permanecerão bloqueadas se as camadas de feição hospedadas estiverem na seguinte ordem: pontos, polígonos, polilinhas e voltar aos pontos.
  • BUG-000112477 - A ação Adicionar Feição de Marcador não funciona conforme o esperado.
  • BUG-000112360 - O Portal for ArcGIS Web Application Builder tem uma vulnerabilidade de script entre sites (XSS).
  • BUG-000112358 - Limpe as URLs fornecidas ao recurso de legenda para remover caracteres inválidos na URL de SOAP.
  • BUG-000112357 - Redirecionamento não validado nos parâmetros /portal/sharing/login e portal/sharing/rest/login do Portal for ArcGIS.
  • BUG-000112161 - O Web Viewer do Portal for ArcGIS CityEngine tem um problema de script entre sites (XSS) refletido.
  • BUG-000112088 - A operação Mostrar Tabela no mapa da web do Portal for ArcGIS 10.5.1 não retorna o atributo do serviço de imagem.
  • BUG-000112026 - Após aplicar o Patch 1 de Segurança 2018 do Portal for ArcGIS, ao entrar no aplicativo Inicial do Portal for ArcGIS, se um usuário de domínio digitar uma senha incorreta, todos os usuários de domínio serão bloqueados no Portal for ArcGIS.
  • BUG-000111942 - A simbologia não é mantida em uma camada de feição compartilhada quando um filtro é aplicado e a camada é acessada por outro usuário para criar seu próprio mapa da web.
  • BUG-000110677 - Dados desenhados anteriormente não são apagados da tela ao reduzir.
  • BUG-000110632 - O GeoEvent baseado em serviços de mapa e da feição que estejam relacionados não devem ser combinados quando ambos forem adicionados ao índice do Map Viewer.
  • BUG-000110291 - O Portal for ArcGIS não deve analisar tags de entidade.
  • BUG-000110290 - Remover entradas de registro inválidas do banco de dados interno do Portal for ArcGIS.
  • BUG-000111090 - O widget Selecionar perde a seleção ao utilizar a funcionalidade Criar Camada em uma camada adicionada por meio do widget Adicionar Dados no Web AppBuilder no Portal for ArcGIS.
  • BUG-000111077 - Erro de Execução: Atribuição de Valor Ilegal à Feição ao Editar Rótulos em um Mapa da Web do Portal com a Visibilidade da Camada desativada.
  • BUG-000111058 - O Editor do Arcade faz solicitações ao domínio "fast.fonts.net", causando atrasos significativos nas redes desconectadas.
  • BUG-000110542 - No Web AppBuilder for ArcGIS, a opção Criar Camada não será habilitada se somente uma feição estiver selecionada.
  • BUG-000109870 - No visualizador de mapa, os mosaicos de vetor não respeitam as configurações visíveis de escala ao reduzir e os polígonos são distribuídos em áreas não adjacentes.
  • BUG-000109517 - No Map Viewer do Portal for ArcGIS 10.5.1, o painel Criar Rótulos não funciona para serviços de mapa publicados a partir do documento de mapa com a configuração 'Permitir atribuição de IDs numéricos únicos para publicação do serviço de mapa' especificada.
  • BUG-000108753 - O Portal for ArcGIS configurado com autenticação de camada do portal e criação automática de conta habilitada criará contas que excederão o número de licenças disponíveis.
  • BUG-000108364 - O widget Adicionar Dados incluído no Portal for ArcGIS e na edição de Desenvolvedor do Web App Builder retorna um erro após navegar para um arquivo CSV.
  • BUG-000108155 - Solicitações infinitas de generateToken são ativadas no visualizador de mapa quando o token expira para um Portal configurado com Autenticação Integrada do Windows (IWA) e federado com ArcGIS Server.
  • BUG-000107814 - Criar Rótulos não funciona no Portal for ArcGIS 10.5.1 para Serviços de Mapa do ArcGIS Server 10.5.1.
  • BUG-000107440 - O Portal for ArcGIS proíbe o acesso ao portaladmin quando o nome real da máquina não está listado no certificado.
  • BUG-000107004 - Uma mensagem de erro é retornada ao executar o serviço de geoprocessamento Tarefa Extrair Dados no Web AppBuilder for ArcGIS do Portal for ArcGIS 10.5.1 no Internet Explorer.
  • BUG-000106909 - A filtragem de um serviço de mapa não filtra a tabela de atributos no mapa da web.
  • BUG-000106917 - O Map Viewer do Portal for ArcGIS 10.5.1 não carrega o Mapa Base Roads do Bing quando o HTTPS está ativado somente devido a erros de incompatibilidade do certificado nos mosaicos solicitados.
  • BUG-000106874 - Anexos não são preservados no pop-up em mapas da web ao utilizar a funcionalidade de pesquisar por camada.
  • BUG-000106303 - O Portal for ArcGIS não respeita totalmente a configuração 'domainControllerAddress' na configuração de segurança.
  • BUG-000105202 - Ao acessar um serviço protegido no Portal com credenciais salvas, a solicitação de token da geração em proxy não respeita o parâmetro nonProxyHosts.
  • BUG-000105062 - O widget Adicionar Dados incluído no Portal for ArcGIS e na edição de Desenvolvedor do Web App Builder falha ao desenhar os resultados após navegar até um shapefile compactado.
  • BUG-000104949 - Os mapas base no sistema de coordenadas WGS84 não são desenhados na caixa de diálogo Definir Extensão de Detalhes do Item.
  • BUG-000103846 - O Portal for ArcGIS tem uma vulnerabilidade de credencial codificada.
Para evitar conflitos, a versão 10.4.1 também corrige:
  • BUG-000114489 - O servlet do Keyhole Markup Language (KML) não respeita totalmente as configurações de proxy.
  • BUG-000114325 - Várias páginas no Portal for ArcGIS 10.3.x e 10.4.x não são exibidas corretamente após a atualização para Chrome 67.
  • BUG-000112749 - Script entre sites (XSS) refletido no Map Viewer do ArcGIS Online.
  • BUG-000112360 - O Portal for ArcGIS Web Application Builder tem uma vulnerabilidade de script entre sites (XSS).
  • BUG-000112358 - Limpe as URLs fornecidas ao recurso de legenda para remover caracteres inválidos na URL de SOAP.
  • BUG-000112357 - Redirecionamento não validado nos parâmetros /portal/sharing/login e portal/sharing/rest/login do Portal for ArcGIS.
  • BUG-000112161 - O Web Viewer do Portal for ArcGIS CityEngine tem um problema de script entre sites (XSS) refletido.
  • BUG-000110291 - O Portal for ArcGIS não deve analisar tags de entidade.
  • BUG-000110290 - Remover entradas de registro inválidas do banco de dados interno do Portal for ArcGIS.
  • BUG-000101562 - Não foi possível acessar a opção "Editar Configurações" do Portal for ArcGIS ao utilizar o Java Web Adaptor com Apache Tomcat 7.0.73+ ou 8.0.39+.
  • BUG-000108753 - O Portal for ArcGIS configurado com autenticação de camada do portal e criação automática de conta habilitada criará contas que excederão o número de licenças disponíveis.
  • BUG-000108155 - Solicitações infinitas de generateToken são ativadas no visualizador de mapa quando o token expira para um Portal configurado com Autenticação Integrada do Windows (IWA) e federado com ArcGIS Server.
  • BUG-000104718 - Os mosaicos para uma camada de mosaico hospedada a partir do ArcGIS Online não são visíveis no visualizador de mapa do Portal for ArcGIS se a camada de mosaico for adicionada como um item com credenciais armazenadas.
  • BUG-000104116 - Ao adicionar membros no Portal for ArcGIS utilizando logins enterprise, usuários com nomes de usuário com menos de seis caracteres não são adicionados, mesmo que esse limite não exista realmente no Portal for ArcGIS.
  • BUG-000103731 - Em uma implantação do Portal altamente disponível, o nó primário reverte para o estado 'Criar Novo Site', se o nó primário perder a conexão com o diretório de conteúdo.
  • BUG-000103700 - A página de login do portal é exibida em Inglês, em vez do idioma padrão, se a opção 'Permitir acesso anônimo ao seu portal' estiver desmarcada.
  • BUG-000102927 - Quando uma camada é lenta para ser exibida no Map Viewer, a mensagem indicando que a camada está sem resposta não é descartada automaticamente quando a camada é desenhada.
  • BUG-000102793 - As grandes estruturas de grupos do Active Directory causam problemas de latência com o Portal for ArcGIS.
  • BUG-000100424 - O widget Geoprocessamento do Web AppBuilder for ArcGIS falha ao exibir a tabela de saída quando o serviço de geoprocessamento é publicado com o parâmetro 'Visualizar resultado com um serviço de mapa'.
  • BUG-000100420 - A caixa de seleção para camadas no widget Lista de Camadas não funciona após atualizar ou iniciar o aplicativo novamente para as camadas de feição do serviço de mapa quando a camada de grupo está desmarcada e as subcamadas estão marcadas.
  • BUG-000099447 - Não foi possível carregar arquivos no aplicativo inicial do Portal após atualizar o navegador para Firefox 49 ou Chrome 54.
  • BUG-000098559 – Redirecionamento não validado no Portal for ArcGIS.
  • BUG-000098482 - Problema de script entre sites (XSS) no Portal for ArcGIS.
  • BUG-000098148 - A atualização da associação para usuários e grupos enterprise falha ao respeitar a associação do grupo aninhado em grupos universais.
  • BUG-000098118 - O Portal for ArcGIS expõe informações internas.
  • BUG-000098025 - Ignorar a regra de redirecionamento da URL no Portal for ArcGIS.
  • BUG-000097777 - SAML de suporte entra no Portal for ArcGIS quando um proxy reverso é definido utilizando a propriedade WebContextURL.
  • BUG-000096571 - O atributo protegido não está presente em um cookie no Portal for ArcGIS.
  • BUG-000096570 - Script entre sites (XSS) refletido é possível no Portal for ArcGIS.
  • BUG-000096161 - O erro "Não foi possível atualizar o item" é retornado ao executar a análise utilizando as ferramentas de análise espacial no Map Viewer do Portal for ArcGIS. Este erro ocorre quando o ArcGIS Web Adaptor (ou qualquer proxy reverso) está em uma máquina diferente do ArcGIS Server de Hospedagem.
  • BUG-000094537- Usuários do Active Directory que pertencem a um grupo enterprise com o mesmo nome de um grupo em um domínio diferente têm acesso ao Portal for ArcGIS 10.4, mesmo que não pertençam ao grupo.
  • BUG-000094523 - Os usuários do Domínio Cruzado não podem visualizar quais grupos Enterprise eles são membros no Portal for ArcGIS 10.4.
  • BUG-000091316 - Algumas operações de transferência do Portal não validam o tipo de arquivo corretamente.
  • ENH-000092759 - Suporte para nomes de usuário enterprise com um comprimento mínimo de 3 caracteres.
  • NIM104313 - Sair de um usuário enterprise no Portal for ArcGIS não propaga a saída doo usuário para o Provedor de Identidade de SAML correspondente.
Para evitar conflitos, a versão 10.3.1 também corrige:
  • BUG-000114489 - O servlet do Keyhole Markup Language (KML) não respeita totalmente as configurações de proxy.
  • BUG-000114325 - Várias páginas no Portal for ArcGIS 10.3.x e 10.4.x não são exibidas corretamente após a atualização para Chrome 67.
  • BUG-000112749 - Script entre sites (XSS) refletido no Map Viewer do ArcGIS Online.
  • BUG-000112360 - O Portal for ArcGIS Web Application Builder tem uma vulnerabilidade de script entre sites (XSS).
  • BUG-000112358 - Limpe as URLs fornecidas ao recurso de legenda para remover caracteres inválidos na URL de SOAP.
  • BUG-000112357 - Redirecionamento não validado nos parâmetros /portal/sharing/login e portal/sharing/rest/login do Portal for ArcGIS.
  • BUG-000112161 - O Web Viewer do Portal for ArcGIS CityEngine tem um problema de script entre sites (XSS) refletido.
  • BUG-000110291 - O Portal for ArcGIS não deve analisar tags de entidade.
  • BUG-000110290 - Remover entradas de registro inválidas do banco de dados interno do Portal for ArcGIS.
  • BUG-000108753 - O Portal for ArcGIS configurado com autenticação de camada do portal e criação automática de conta habilitada criará contas que excederão o número de licenças disponíveis.
  • BUG-000108155 - Solicitações infinitas de generateToken são ativadas no visualizador de mapa quando o token expira para um Portal configurado com Autenticação Integrada do Windows (IWA) e federado com ArcGIS Server.
  • BUG-000101456 - Um aplicativo Web AppBuilder for ArcGIS hospedado em um servidor da web que não seja a máquina do Portal for ArcGIS falha ao exibir as camadas de feição após 30 minutos de tempo ocioso quando o Portal for ArcGIS está protegido com a Autenticação Integrada do Windows (IWA).
  • BUG-000099447 - Não foi possível carregar arquivos no aplicativo inicial do Portal após atualizar o navegador para Firefox 49 ou Chrome 54.
  • BUG-000098559 – Redirecionamento não validado no Portal for ArcGIS.
  • BUG-000098482 - Problema de script entre sites (XSS) no Portal for ArcGIS.
  • BUG-000098118 - O Portal for ArcGIS expõe informações internas.
  • BUG-000098025 - Ignorar a regra de redirecionamento da URL no Portal for ArcGIS.
  • BUG-000097640 - O dijit de BasemapGallery envia uma solicitação da imagem de exportação em vez de solicitar mosaicos quando utilizado com um serviço de imagem em cache como um mapa base.
  • BUG-000096889 - O ArcGIS Server não pode se comunicar com o Portal for ArcGIS quando o endereço IP do Portal resolve dois nomes de domínio totalmente qualificados diferentes.
  • BUG-000096571 - O atributo protegido não está presente em um cookie no Portal for ArcGIS.
  • BUG-000096570 - Script entre sites (XSS) refletido é possível no Portal for ArcGIS.
  • BUG-000094105 - A operação generatetoken do portal falha ao rejeitar solicitações POST que contêm o nome de usuário ou a senha no parâmetro de consulta.
  • BUG-000092447 - Vulnerabilidade CVE-2014-0099 do Tomcat - Integrar ataque de excesso.
  • BUG-000092445 - Vulnerabilidade do Tomcat, "CVE-2014-0230 - Ataque de negação de serviço por consumo de camada".
  • BUG-000091354 - O Portal falha ao atualizar a associação para usuários fora do domínio onde o servidor do Portal reside.
  • BUG-000091316 - Algumas operações de transferência do Portal não validam o tipo de arquivo corretamente.
  • BUG-000090845 - Acesso restrito à porta de desligamento interna do Tomcat.
  • BUG-000090552 - Ao editar as configurações da URL de um item no Portal for ArcGIS 10.3.1, a URL do item não salva e volta ao original. (Somente Linux)
  • BUG-000090024 - Não foi possível configurar pop-ups para as camadas de feição do serviço de mapa com um ID de camada único no Portal for ArcGIS.
  • BUG-000088826 - Após a atualização da versão 10.3 ou anterior, as senhas para contas de portal embutidas no Portal for ArcGIS não podem ser alteradas pelo usuário.
  • BUG-000088682 - Quando o Portal é configurado para ser Somente SSL, as URLs do Web AppBuilder são salvas como HTTP em vez de HTTPs.
  • BUG-000088663 - Quando um Serviço de Mosaico do Mapa da Web (WMTS) utilizando WGS84 a partir de um servidor WMTS diferente do ArcGIS for Server é consumido como um mapa base no Portal for ArcGIS, os resultados do geocódigo do World Geocode Service aparecem no local errado.
  • BUG-000088505 - A configuração altamente disponível do Portal não deve ser redefinida para o Portal independente se a pasta de conteúdo compartilhado não estiver disponível.
  • BUG-000086481 - Geometrias incorretas são exibidas ao reprojetar um serviço hospedado no visualizador de mapa.
  • BUG-000085589 - Não é possível exibir as camadas do mapa adicionadas diretamente ao Mapa da Web do Portal quando o Portal e o ArcGIS Server estão configurados para utilizar a Autenticação Integrada do Windows (IWA) e ambos os Web Adaptors são implementados no mesmo servidor.
  • BUG-000085482- Ocorre uma falha quando o parâmetro supportedPagination é ignorado ao pesquisar valores na camada de feição no Portal for ArcGIS 10.3.
  • BUG-000084180 - No Portal for ArcGIS, ao editar um perfil de usuário, os campos de texto Nome e Sobrenome sempre são mostrados em branco na página Editar Meu Perfil.

Instalando este patch no Windows


Etapas da Instalação:


O Portal for ArcGIS 10.6.1, 10.5.1, 10.4.1 ou 10.3.1 deve ser instalado antes da instalação deste patch.

  1. Baixe o arquivo apropriado para um local diferente do local de instalação do ArcGIS.

  2. Portal for ArcGIS   Soma de Verificação (Md5)
         
        10.6.1 ArcGIS-1061-PFA-SEC2018U3-Patch.msp 75E7CB993A48F676967056F71FCE77B9
         
        10.5.1 ArcGIS-1051-PFA-SEC2018U3-Patch.msp 988C85C9CB119EE93073AFA9CDDC6298
         
        10.4.1 ArcGIS-1041-PFA-SEC2018U3-Patch.msp A2C59FC73B68DD76A9DCEE46C47FDCBE
         
        10.3.1 ArcGIS-1031-PFA-SEC2018U3-Patch.msp 02218DB8DF9465B9129792D0E6BB7263
         

  3. Certifique-se de ter acesso à escrita no local de instalação do ArcGIS.

  4. Clique duas vezes em ArcGIS--PFA-SEC2018U3-Patch.msp para iniciar o processo de instalação.

    NOTA: Se clicar duas vezes no arquivo MSP não iniciar a instalação, você poderá iniciar a instalação manualmente, utilizando o seguinte comando:

    msiexec.exe /p [local do Patch]\ArcGIS--PFA-SEC2018U3-Patch.msp


Instalando este patch no Linux


Etapas da Instalação:


Complete as seguintes etapas de instalação como proprietário da instalação do ArcGIS. O proprietário da Instalação é o proprietário da pasta arcgis.

O Portal for ArcGIS 10.6.1, 10.5.1, 10.4.1 ou 10.3.1 deve ser instalado antes da instalação deste patch.

  1. Baixe o arquivo apropriado para um local diferente do local de instalação do ArcGIS.


    Portal for ArcGIS   Soma de Verificação (Md5)
         
        10.6.1 ArcGIS-1061-PFA-SEC2018U3-Patch-linux.tar C835DAE0805D020CC50A70FCA602FE11
         
        10.5.1 ArcGIS-1051-PFA-SEC2018U3-Patch-linux.tar 83EFD9403CA246E29E52FA38511D5C30
         
        10.4.1 ArcGIS-1041-PFA-SEC2018U3-Patch-linux.tar 5C6BD7F6314502B53C955EB1F59C5EAC
         
        10.3.1 ArcGIS-1031-PFA-SEC2018U3-Patch-linux.tar 19C274009BF572AC88DD6B96AB8D192B
         

  2. Certifique-se de ter acesso à escrita no local de instalação do ArcGIS, e que ninguém esteja utilizando o ArcGIS.

  3. Extraia o arquivo tar especificado digitando:

    % tar -xvf ArcGIS--PFA-SEC2018U3-Patch-linux.tar

  4. Inicie a instalação digitando:

    % ./applypatch

    Isto iniciará o diálogo do menu dirigido ao procedimento da instalação. Seleções padrões são anotadas entre parênteses ( ). Para sair do procedimento da instalação, digite 'q' a qualquer momento.

Desinstalando este patch no Windows


  • Para desinstalar esse patch no Windows, abra o Painel de Controle do Windows e navegue até os programas instalados. Verifique se "Exibir atualizações instaladas" (lado superior esquerdo do diálogo Programas e Recursos) está ativo. Selecione o nome do patch na lista de programas e clique em Desinstalar para remover o patch.

Desinstalando este patch no Linux


A desinstalação deste patch está disponível somente na versão 10.6 ou posterior. Para remover esse patch, navegue até o diretório /tmp e execute o seguinte script como proprietário da Instalação do ArcGIS:

./patchremove

Notas: Você pode remover somente o patch que foi instalado mais recentemente.

Atualizações de Patch

Verifique a página Patches e Service Packs periodicamente para a disponibilidade de patches adicionais. Novas informações sobre este patch serão postadas aqui.

27 de Dezembro, 2018: Página atualizada com lista cumulativa para a Versão 10.5.1.

Como identificar quais produtos ArcGIS estão instalados

Para determinar quais produtos ArcGIS estão instalados, escolha a versão apropriada do utilitário PatchFinder para seu ambiente e execute-o de sua máquina local. O PatchFinder listará todos os produtos, pacotes de correção e patches instalados em sua máquina local.

Obtendo Ajuda

Sites nacionais, entre em contato com o Suporte Técnico da ESRI pelo número 1-888-377-4575, se tiver alguma dificuldade em instalar estepatch. Sites internacionais, entrem em contato com odistribuidor de software local da Esri.



Download ID:7660

Get help from ArcGIS experts

Contact technical support

Download the Esri Support App

Go to download options