中文

ArcGIS Server Security 2018 Update 1 Patch

摘要

此安全修补程序解决了 ArcGIS Server 中发现的跨站点脚本漏洞。 Esri 建议所有使用 ArcGIS Server 10.5.1、10.4.1 和 10.3.1 的客户都应用此修补程序。

说明

Esri® 发布了 ArcGIS Server Security 2018 Update 1 Patch。 Esri 建议所有使用 ArcGIS Server 10.5.1、10.4.1 和 10.3.1 的客户都应用此修补程序。 其专门处理此修补程序解决的问题下方列出的问题。

注意:此安全修补程序为累积修补程序,其中包括一些早期修补程序中的安全及非安全相关修复程序,这些修复程序也在以下的“此修补程序解决的问题”下列出。

2018 年 8 月 16 日重要提示:此修补程序的 10.5.1 版本已更新,以修复影响从时空大数据存储中可视化数据能力的回归。 建议用户下载并安装更新的修补程序以解决此问题。 修补程序的原始版本中包含的所有安全修复程序均未受到影响。



此修补程序解决的问题


  • BUG-000104739 - ArcGIS Server 系统工具容易受到跨站点脚本 (XSS) 攻击。
  • BUG-000115738 - 应用 ArcGIS Server 10.5.1 Security 2018 Update 1 Patch 后,无法显示 ArcGIS Data Store 中的时空点数据。 (仅限 ArcGIS Server 10.5.1 版本)
为避免冲突,10.5.1 版本还解决:
  • BUG-000113291 - ArcGIS Server 中存在不正确的访问控制问题。
  • BUG-000112254 - 在 ArcGIS Server 10.5.1 中的 Web 要素服务 (WFS) 服务中,圆环面的表示方式为面而非“孔洞”。
  • BUG-000112146 - 带有 BBOX 过滤器和两个图层的 WFS GetFeature 请求不起作用。
  • BUG-000112081 - 如果第一列是 long int,则多列唯一值渲染器无法启动。
  • BUG-000112080 - 在与版本化数据同步时记录数据发送方状态下的副本。
  • BUG-000112079 - 在 sycnhronizeReplica 中为 syncModel perReplica 创建 replicaServerGen 参数。
  • BUG-000112077 - 不应在版本化同步结束时过滤上传的或服务器生成的输入增量文件。
  • BUG-000112075 - 添加差异光标记录和代码以解决同步下载期间的数据不一致问题。
  • BUG-000112060 - 要素服务 createReplica 操作忽略 10.5.1 中要素服务设置的基准面转换。
  • BUG-000111446 - 只能使用 WFS 2.0.0 语法针对含 POST 的事务更改 WFS-T 服务,即使将请求中的版本强制为 1.1.0 也是如此。
  • BUG-000110938 - EsriFieldTypeSingle 的行为方式等同于发布到 ArcGIS Server 10.5.1 的 WFS 服务中的 INT。
  • BUG-000110480 - 服务器目录位置的更新有时不适用于所有服务。
  • BUG-000110388 - ArcID Server 10.5.x 中的 Web 要素服务 (WFS) 服务中未公开 ObjectID 和 GlobalID 字段。
  • BUG-000111075 - 在通信失败,继而数据库连接恢复后,GeoEvent 服务中使用的要素服务无法重新建立与数据库的通信。
  • BUG-000109803 无法删除在 ArcGIS GeoEvent Server 中创建的时空大数据存储要素服务中的面要素和折线要素。
  • BUG-000109738 - 通过浏览器查询时,Web 要素服务 (WFS) 为字段属性显示零值而非空值。
  • BUG-000109686 - 在 RabbitMQ 中禁用 SSL 会导致 GeoEvent 服务器出现不稳定的情况。
  • BUG-000109619 - 当重音字符(如 Á)作为图层名称使用时,WFS 无法使用 DescribeFeatureType 生成数据。
  • BUG-000109577 - 通过基于时空的托管要素服务添加对查询的 NOT LIKE 支持。
  • BUG-000109576 - 使用基于时空的托管要素服务添加对查询的上和下 SQL 函数的支持。
  • BUG-000109544 - ArcGIS GIS Server 10.5.1 Standard Overlay Layers 分析工具在处理生成自 ArcGIS GeoAnalytics Server 10.5.1 的 GeoAnalytics 工具“连接要素”任务的输入线要素时失败。
  • BUG-000109441 - 当服务在“内容列表”下的属性选项卡中的字段为不可见时,GetFeature 服务为 Web 要素服务 (WFS) 显示“Shape xsi:nil="true"”。
  • BUG-000108709 - 在 WFS:getFeature 请求中的查询的首个图层中使用运算符会在响应中导致异常。
  • BUG-000108365 - 如果使用 PropertyName,则不接受 Web 要素服务 (WFS) 服务的 XML POST 请求。
  • BUG-000108257 - ArcGIS Enterprise“灾难恢复和复制”工作流使用来自主要环境的证书来替换备用环境中的证书,这会导致 ArcGIS GeoEvent Server 无法启动。
  • BUG-000107477 - GeoAnalytics“连接要素”工具针对具有某些面的面到面连接运行失败。
  • BUG-000106367 - 无法正确使用基于 Oracle 的要素服务。
  • BUG-000106348 - 当查询包括到不同坐标系的转换时,从相同几何网络发布的地图和要素服务返回不同的几何。
  • BUG-000106301 - 经常使用 ASP.NET 标识存储通过 Web 层身份验证来访问安全地图服务会导致响应时间延长。
  • BUG-000105936 - 设置特定端口以在设有 Windows 防火墙的 GeoAnalytics Server 中将所有计算机用于分析。
  • BUG-000104306 - 在 Portal for ArcGIS 10.5 Web 地图中查看从联合 ArcGIS Server 发布的数据时,即使数据在地图上为可查看和可编辑状态,联合 ArcGIS Server 日志也会报告以下严重级别的消息:“无法返回服务配置'Service_name.MapServer'。 服务器计算机'https://MACHINE_NAME.DOMAIN.COM:7443/arcgis/sharing/rest/content/items/'返回了一个错误。 '内部服务器错误'"
  • BUG-000103341 - 在打印期间或在包含 Z 值时创建 Portal 缩略图时,PrintingTools 服务不显示 shapefile。
  • BUG-000102408 - WFS-T 插入指示成功,但未添加任何点。
  • BUG-000102081 - ArcGIS GIS Server 提供的 Web 要素服务 (WFS) 需要在使用字段名称而不是字段别名之间切换的标记。 否则,如果使用字段别名,则无法正确完成 WFS 到地理数据库工具。
  • BUG-000099496 - 在 ArcGIS Server Manager 中,一旦服务启动时生成大量请求,则地图服务将在“正在启动”状态下中止。
  • NIM100766 - 日期过滤器无法与 Web 要素服务 (WFS) GetFeature 功能配合使用。
为避免冲突,10.4.1 版本还解决:
  • BUG-000113291 - ArcGIS Server 中存在不正确的访问控制问题。
  • BUG-000111987 - 在 IE 浏览器(版本 11)中查看时,修补程序 QFE-1041-S-363090 会导致 Operations Dashboard 条形图微件显示“无数据”。
  • BUG-000110882 - 将 SOE 上传到服务器会导致无法访问在 ArcGIS GeoEvent Server 中创建的时空大数据存储托管地图服务。
  • BUG-000107200 - 在 REST 的时空大数据存储地图服务上执行查找操作会间歇性地返回错误“none.get”。
  • BUG-000105602 - 查询日期字段失败,并显示时空大数据存储要素服务“发生数据库错误”。
  • BUG-000105458 - ArcGIS Server 未遵循安全性配置中的“domainControllerAddress”设置。
  • BUG-000102477 - 为要素服务执行服务器对象拦截器 (SOI) 时,ServerUtilities.getServerUserInfo() 返回空值,但任会继续按预期为地图服务工作。
  • BUG-000099629 - 将浏览器更新到 Firefox 49 或 Chrome 54 后,无法在 ArcGIS Server Manager 中上传文件。
  • BUG-000099496 - 在 ArcGIS Server Manager 10.4.1 中,一旦服务启动时生成大量请求,则地图服务将在“正在启动”状态下中止。
  • BUG-000099099 - 如果地图影像图层已移动到 Portal for ArcGIS“我的内容”页面的子文件夹中,则从 ArcGIS Server Manager 将联合 ArcGIS for Server 地图服务的共享选项更新为“所有人”之后,会将两个地图影像图层作为项目添加到 Portal for ArcGIS > 我的内容中。
  • BUG-000099098 - 当地图影像图层移动到联合门户网站上我的内容中的另一个文件夹时,ArcGIS Server Manager 中 ArcGIS Server 的共享属性将从“所有人”更改为“私有”。
  • BUG-000098119 - ArcGIS Server 显示内部信息。
  • BUG-000095194 - 要素服务 REST 响应不定期返回完整编辑功能。
  • BUG-000094193 - 在具有同步功能的 ArcGIS for Server 要素服务上启用服务器对象拦截器 (SOI) 时,创建副本操作失败,这会渲染无法用于离线编辑的要素服务。
  • BUG-000093500 - 登录后,用户将被重定向到服务目录主页,而不是重定向到尝试登录的 URL。
  • NIM089714 - 在具有相同属性名称的同一服务器上运行两个服务器对象扩展模块 (SOE) 时,忽略第二个 SOE 属性的值。
为避免冲突,ArcGIS 10.3.1 版本还包括:
  • BUG-000113291 - ArcGIS Server 中存在不正确的访问控制问题。
  • BUG-000103341 - 在打印期间或在包含 Z 值时创建 Portal 缩略图时,PrintingTools 服务不显示 shapefile。
  • BUG-000100330 - 针对点击劫持尝试,增强 ArcGIS Server Manager 安全性。
  • BUG-000099629 - 将浏览器更新到 Firefox 49 或 Chrome 54 后,无法在 ArcGIS Server Manager 中上传文件。
  • BUG-000098489 - MapServer 导出操作在格式错误时忽略定义查询。 但该操作必须抛出错误。
  • BUG-000098312 - 打印服务无法打印通过有限访问权限保护且凭据嵌入其中的 AGOL/Portal 项目。
  • BUG-000098119 - ArcGIS Server 显示内部信息。
  • BUG-000095713 - GP 服务和扩展模块发布仅限管理员使用。
  • BUG-000095712 - RMID ActivationSystem 仅限 ArcSOC 使用。
  • BUG-000095244 - 取消连接连接工作流丢失线点。
  • BUG-000095194 - 要素服务 REST 响应不定期返回完整编辑功能。
  • BUG-000095044 - SQL 注入漏洞,允许未经授权的数据修改。
  • BUG-000094671 - EstimateCacheTileSize/ExportTiles 作业偶尔会返回一个空白页面,需要刷新几次才能获得 jobstatus。 用户单击刷新时会生成严重错误消息。
  • BUG-000094606 - 如果完全限定的计算机名称以“.proxy”结尾,则无法打开 ArcGIS Server Manager。
  • BUG-000094489 - 如果使用属于要素数据集的要素类,而该要素数据集同时包含几何网络,则在 Portal for ArcGIS 中覆盖托管要素服务会失败。
  • BUG-000094082 - 窗口范围导致由追踪链接工具创建的连接链创建线点链接而不是宗地点链接。
  • BUG-000094193 - 在具有同步功能的 ArcGIS for Server 要素服务上启用服务器对象拦截器 (SOI) 时,创建副本操作失败,这会渲染无法用于离线编辑的要素服务。
  • BUG-000093884 - 来自地图服务的 SOAP 响应不符合地图服务器 WSDL 定义。
  • BUG-000093879 - 当存在拐点时,合并宗地会更改原始 COGO 尺寸。
  • BUG-000093500 - 登录后,用户将被重定向到服务目录主页,而不是重定向到尝试登录的 URL。
  • BUG-000092906 - 地图和影像服务容易受到 XML 外部实体注入 (XXE) 的攻击。
  • BUG-000092447 - Tomcat 漏洞 CVE-2014-0099 - 整数溢出攻击。
  • BUG-000092445 - Tomcat 漏洞 CVE-2014-0230 - 通过线程消耗的拒绝服务攻击。
  • BUG-000091959 - 使用“剩余地产”工具后,弧的某些 COGO 属性未更新。
  • BUG-000091775 - 在创建“新宗地”时强制关闭会重新计算开始过程的起点。
  • BUG-000091182 - 创建平行偏移会更改方位角值。
  • BUG-000091147 - 当 Collector for Android 10.3.3 使用具有带编码属性域的非可空字段的要素服务时,如果用户未提供值,则应用程序会发送空格作为编辑。 这会导致无效数据违反用户方案的目标,并且传递空格的应用程序会绕过最终用户的目标来强制此字段的真值。
  • BUG-000091033 - 在 ArcGIS Runtime Java GPK 中,在打包对客户端操作至关重要的地理处理工具时,某些函数不可用。
  • BUG-000090882 - 在 Win 8.1 OS 和 10 OS 上创建新的宗地会导致 ArcMap 在使用第二个连接选项或强制关闭时崩溃。
  • BUG-000090845 - 限制访问 Tomcat 内部关闭端口。
  • BUG-000090534 - 如果目录中含范围设置,则打包其中的栅格不会正确裁剪。
  • BUG-000090429 - 偶尔发生带有 generateToken 请求的反射 XSS 漏洞。
  • BUG-000090045 - 优化字段检查以提高同步导入和导出的性能。
  • BUG-000090171 - 要素服务中超过特定大小的 PDF 文件附件无法在浏览器中正确显示。
  • BUG-000089636 - 在纯正方形宗地上设置的宗地错误率不正确。
  • BUG-000089622 - 当相邻宗地未连接时,包含曲线线串的宗地将离开原来的位置。
  • BUG-000088948 - “弧长度”和“距离”值不正确更新。
  • BUG-000088847 - 对于某些坐标系(或 CRS),WMTS 服务中的切片在 ArcGIS Desktop 中以及从 ArcGIS Server 获取时未对齐。
  • BUG-000088825 - “宗地剩余地产”工具在宗地之间创建间隙和重叠。
  • BUG-000088454 - 如果文件夹路径在“\”之后包含字母“u”,则 ArcGIS for Server 搜索服务无法注册文件夹,并显示输入字符串错误:“sage”。
  • BUG-000088191 - “宗地结构名称宗地”工具会在具有弯曲线点的宗地上创建间隙。
  • BUG-000088180 - 使用“追加”GP 工具时,线点将保持原始的 To、From 和 LinePoint ID 值。
  • BUG-000088145 - 在宗地结构中创建连接线时,控制点的调查日期更改为 null。
  • BUG-000087817 - 如果全部均为记录并在创建副本时优化行副本,则绕过关系处理。
  • BUG-000087751 - 在大型宗地结构上运行“追加宗地结构”地理处理工具时发生“内存不足”错误。
  • BUG-000087677 - 通过“宗地浏览器”窗口执行特定宗地结构工作流会导致控制点在加入时移动到其他 xy 位置。
  • BUG-000087361 - “使用宗地结构添加线点”工具删除同一区域中的现有线点。
  • BUG-000086992 - 宗地结构最小二乘法矫正报告给出范围和标准差的错误值。
  • BUG-000086939 - 使用“平行偏移”时,不应在曲线上创建线点。
  • BUG-000086412 - 针对包含许多列的要素服务图层的查询所花费的时间比针对相同图层地图服务端点的查询时间要长。
  • BUG-000086010 - 在包含重合线字符串且已调整的父项上构建宗地会在构建时创建间隙。
  • BUG-000085852 - 打开宗地并保留编辑后,不支持已合并的中心点。
  • BUG-000085354 - 在宗地结构中使用不同的连接方法时,LinePoints 运行错误。
  • BUG-000083610 - 在 ArcGIS Online Web 应用程序中,在限制使用引用的情况下打印外部安全服务失败。
  • BUG-000082640 - 选择默认 arcgisserver 文件夹之外的其他位置安装 ArcGIS for Server 10.3 时,安装程序仍会在 c:\arcgisserver 和指定的新位置下创建文件夹。 此外,移除最初创建的 arcgisserver 时,系统会自动创建一个新 arcgisserver 文件夹,其目录子文件夹为空。
  • BUG-000082267 - 改进 ArcGIS for Server Manager 的选项卡顺序、按钮标注、刷新行为和导航。

在 Windows 上安装此修补程序


安装步骤:


在安装此修补程序之前,必须先安装 ArcGIS Server。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。

  2. ArcGIS 10.5.1   校验和 (Md5)
         
    ArcGIS Server ArcGIS-1051-S-SEC2018U1-PatchB.msp 547B062C5EC97DEEF772EB5029AEFC79
         
    ArcGIS 10.4.1   校验和 (Md5)
         
    ArcGIS Server ArcGIS-1041-S-SEC2018U1-Patch.msp 6E4908AA95192AB5BDAEF7114043CA82
         
    ArcGIS 10.3.1   校验和 (Md5)
         
    ArcGIS Server ArcGIS-1031-S-SEC2018U1-Patch.msp 978C1577AFA12B6CA5908E3B11B92446
         

  3. 请确保具有对 ArcGIS 安装位置的写入权限。

  4. 双击 ArcGIS-<版本>-<产品>-S-SEC2018U1-Patch.msp 启动安装过程。

    注:如果双击 MSP 文件后未启动安装程序的安装进程,可使用下列命令手动启动安装进程:

    msiexec.exe /p [修补程序位置]\ArcGIS-<版本>-S-SEC2018U1-Patch.msp


在 Linux 上安装此修补程序


安装步骤:


以 ArcGIS 安装所有者身份完成以下安装步骤。 安装所有者为 arcgis 文件夹的所有者。

在安装此修补程序之前,必须先安装 ArcGIS Server。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。


    ArcGIS 10.5.1   校验和 (Md5)
         
    ArcGIS Server ArcGIS-1051-S-SEC2018U1-PatchB-linux.tar 8758D9E589EDF025747E9885CC233953
         
    ArcGIS 10.4.1   校验和 (Md5)
         
    ArcGIS Server ArcGIS-1041-S-SEC2018U1-Patch-linux.tar 0B180A6A0EAD1BEE645744F24873A7B6
         
    ArcGIS 10.3.1   校验和 (Md5)
         
    ArcGIS Server ArcGIS-1031-S-SEC2018U1-Patch-linux.tar 6121519562CEB00063343E7C207476D5
         
         

  2. 请确保具有对 ArcGIS 安装位置的写入权限,并且当前没有用户正在使用 ArcGIS。

  3. 输入下列命令提取指定的 tar 文件:

    % tar -xvf ArcGIS-<版本>-S-SEC2018U1-Patch-linux.tar

  4. 输入下列命令启动安装过程:

    % ./applypatch

    这样会启动菜单驱动安装步骤的对话框。默认选项以圆括号 ( ) 注明。您可随时输入“q”退出安装流程。

在 Windows 上卸载此修补程序


    要在 Windows 上卸载此修补程序,请打开 Windows 控制面板,然后导航至已安装的程序。 确保“查看已安装的更新”(位于“程序和功能”对话框的左上角)处于活动状态。 从程序列表中选择修补程序名称,然后单击“卸载”以移除该修补程序。

在 Linux 上卸载此修补程序


    卸载此修补程序仅适用于 10.5.1 版本。要移除此修补程序,请导航到 /tmp 目录,然后以 ArcGIS 安装所有者身份运行以下脚本:

    ./patchremove

    注:仅限移除最近安装的修补程序。
    重新启动 ArcGIS Server 服务

修补程序更新

请定期访问修补程序和补丁包页面,以检查是否存在其他可用的修补程序。 将在此处发布有关此修补程序的最新信息。

2018 年 7 月 20 日:10.3.1 版本的 ArcGIS Server Security 2018 Update 1 Patch 现已提供下载。

2018 年 8 月 1 日:已针对 10.5.1 用户确定了时空点数据的回归,进而对查看数据的功能造成影响。 这不会影响时空数据的存储或可用性。 我们正在积极努力解决此问题,并将在可用时发布更新的补丁。 此回归不会影响此修补程序中包含的任何安全修复。

2018 年 8 月 16 日:此修补程序的 10.5.1 版本已更新,以修复影响从时空大数据存储中可视化数据能力的回归。 建议用户下载并安装更新的修补程序以解决此问题。 修补程序的原始版本中包含的所有安全修复程序均未受到影响。

如何确定已安装的 ArcGIS 产品

要确定已安装的 ArcGIS 产品,请选择适用于您的环境的适当 PatchFinder 实用程序版本,然后在本地计算机上运行它。 PatchFinder 将列出已在本地计算机上安装的所有产品、热修复程序和修补程序。

获取帮助

如果在安装此修补程序时遇到任何问题,美国用户请拨打 Esri 技术支持热线 1-888-377-4575。 国际用户请联系您当地的 Esri 软件分销商