中文

Portal for ArcGIS Security 2019 Update 1 Patch

摘要

此安全修补程序可解决 Portal for ArcGIS 中发现的多个安全漏洞。 Esri 建议所有使用 Portal for ArcGIS 10.6.1、10.5.1 和 10.4.1 的用户都应用此修补程序。

说明

Esri® 宣布推出 Portal for ArcGIS Security 2019 Update 1 Patch。 Esri 建议所有使用 Portal for ArcGIS 10.6.1、10.5.1 和 10.4.1 的用户都应用此修补程序。 此修补程序专门处理此修补程序解决的问题下方列出的问题。 此修补程序专门处理此修补程序解决的问题下方列出的问题。

注意:此安全修补程序为累积修补程序,其中包括一些早期修补程序中的安全及非安全相关修复程序,这些修复程序也在以下的此修补程序解决的问题下列出。

此修补程序解决的问题


为避免冲突,10.6.1 版本还处理:
  • BUG-000120392 -“智能编辑器”微件无法在 Portal for ArcGIS 10.6.1 中设置属性操作表达式。
  • BUG-000120061 - 当同一个要素类存在多个关系时,相关数据指向 Web AppBuilder for ArcGIS for Portal for ArcGIS 中的同一个要素。
  • BUG-000117926 - 当访客参与者的内容目录使用云存储时,无法同步协作工作空间。
  • BUG-000117564 - 权限升级漏洞
  • BUG-000117367 - Portal for ArcGIS 中的重定向未经验证。
  • BUG-000116870 - 无法与所有人共享 Insights 工作簿、页面和模型项目。
  • BUG-000115859:从缩放级别 18 开始,与通过 ArcGIS Server 10.6.1 以地图服务器级别添加的地图服务的面形状相比,所选面的选择形状将有所不同。
  • BUG-000115964 - 禁用外部内容后,应用启动器不可用。
  • BUG-000112707 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)。
  • BUG-000112342 - 将 Geo Analytics Server 联合并注册到门户作为 Geo Analytics Server 时,webgisdr 增量恢复将失败。
  • ENH-000116621 - 添加功能:修改使用启动 IDP 登录时登录到 Portal for ArcGIS 所生成的令牌的最长过期时间。
  • ENH-000103213 - 添加选项以强制在 Portal for ArcGIS 和 Active Directory 之间执行加密通信。
为避免冲突,10.5.1 版本还处理:
  • BUG-000117369 - 项目 URL 中存在反映的跨站点脚本 (XSS)
  • BUG-000117564 - 权限升级漏洞
  • BUG-000117367 - Portal for ArcGIS 中的重定向未经验证。
  • BUG-000116992 - 在 Portal for ArcGIS Map Viewer 中配置“创建缓冲区”分析工具时,在不同几何类型之间更改输入缓冲图层将无法正确刷新可用缓冲区选项。
  • BUG-000114549 - 在深色背景下,必须增大 Web AppBuilder for ArcGIS 中范围导航器的活动与非活动箭头之间的对比度。
  • BUG-000114489 - Keyhole 标记语言 (KML) servlet 未完全支持代理设置。
  • BUG-000114488 - Portal for ArcGIS 索引服务存在安全漏洞。
  • BUG-000111424 - 在“绘图”、“测量”和“坐标”微件之间进行切换时将显示弹出窗口。
  • BUG-000113157 - 如果备份包含 Thumbs.db 文件,则 Portal for ArcGIS 导入站点将失败。
  • BUG-000112707 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)。
  • BUG-000112749 - ArcGIS Online Map Viewer 中存在反映的跨站点脚本 (XSS)。
  • BUG-000112595 - 在“共享”微件中单击电子邮件链接会导致弹出不需要的浏览器导航提示。
  • BUG-000112059 - 在 Portal for ArcGIS 中,如果托管要素图层按点、面和折线的顺序排列,则在 Web AppBuilder for ArcGIS 的“分析”微件中,“缓冲区”工具的“选择”选项将保持固定并返回到点。
  • BUG-000112477 -“添加标记”要素操作未按预期工作。
  • BUG-000112360 - Portal for ArcGIS Web Application Builder 中存在跨站点脚本 (XSS) 漏洞。
  • BUG-000112358 - 清理提供给图例资源的 URL 可以移除 SOAP URL 中的无效字符。
  • BUG-000112357 - Portal for ArcGIS 的 /portal/sharing/login 和 portal/sharing/rest/login 端点中的重定向未经验证。
  • BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer 中存在反映的跨站点脚本 (XSS) 问题。
  • BUG-000112088 - Portal for ArcGIS 10.5.1 Web 地图中的“显示表”操作不返回图像服务的属性。
  • BUG-000112026 - 应用 Portal for ArcGIS 安全性 2018 更新 1 修补程序后,在登录 Portal for ArcGIS 主页应用程序时,如果域用户键入了错误的密码,则所有域用户将被 Portal for ArcGIS 锁定。
  • BUG-000111942 - 应用过滤器时,共享要素图层上不会保留符号系统,且其他用户可以访问该图层以创建自己的 Web 地图。
  • BUG-000110677 - 对屏幕进行缩小时,将不会从屏幕上清除以前绘制的数据。
  • BUG-000110632 - 将基于 GeoEvent 的地图和要素服务都添加到 Map Viewer 内容列表时,不应将存在关联的上述地图和服务组合在一起。
  • BUG-000110291 - Portal for ArcGIS 不应解析实体标签。
  • BUG-000110290 - 从 Portal for ArcGIS 内部数据库中移除无效的记录条目。
  • BUG-000111090 - 在通过 Portal for ArcGIS 中 Web AppBuilder 的“添加数据”微件添加的图层上使用“创建图层”功能时,“选择”微件将丢失所选内容。
  • BUG-000111077 - 执行错误:关闭图层可见性的情况下在门户 Web 地图中编辑标注时会有非法值分配到要素。
  • BUG-000111058 - Arcade Editor 调用“fast.fonts.net”域,导致断开连接的网络出现严重延迟。
  • BUG-000110542 - 在 Web AppBuilder for ArcGIS 中,如果仅选择一个要素,则不会启用“创建图层”选项。
  • BUG-000109870 - 在 Map Viewer 中,矢量切片在缩小时不遵循可见比例设置,且面将分布在不相邻区域中。
  • BUG-000109517 - 在 10.5.1 Portal for ArcGIS Map Viewer 中,在指定了“允许对地图服务发布分配唯一的数字 ID”设置的情况下,“创建标注”面板不适用于从地图文档发布的地图服务。
  • BUG-000108753 - 已启用门户层身份验证和自动帐户创建的已配置 Portal for ArcGIS 将创建超过可用许可数量的帐户。
  • BUG-000108364 - 浏览至 CSV 文件后,Portal for ArcGIS 和 Web App Builder Developer 版本中包含的“添加数据”微件将返回错误。
  • BUG-000108155 - 对于配置了集成 Windows 身份验证 (IWA) 并与 ArcGIS Server 联合的门户,一旦令牌到期,则会在 Map Viewer 中触发无限的 generateToken 请求。
  • BUG-000107814 - “创建标注”在 Portal for ArcGIS 10.5.1 for ArcGIS Server 10.5.1 Map Services 中不起作用。
  • BUG-000107440 - 当证书中未列出实际的计算机名称时,Portal for ArcGIS 将不允许访问 portaladmin。
  • BUG-000107004 - 在 Internet Explorer 中,针对 Portal for ArcGIS 10.5.1 中的 Web AppBuilder for ArcGIS 运行“提取数据任务”地理处理服务时,将返回错误消息。
  • BUG-000106909 - 过滤地图服务不会过滤 Web 地图中的属性表。
  • BUG-000106917 - 当启用“仅 HTTPS”时,由于所请求切片上存在证书不匹配错误,Portal for ArcGIS 10.5.1 Map Viewer 不会加载 Bing Roads Base Map。
  • BUG-000106874 - 使用按图层搜索功能时,附件不会保留在 Web 地图的弹出窗口中。
  • BUG-000106303 - Portal for ArcGIS 未完全遵循安全性配置中的“domainControllerAddress”设置。
  • BUG-000105202 - 使用保存的凭据访问门户中的安全服务时,代理的生成令牌请求不支持 nonProxyHosts 参数。
  • BUG-000105062 - 浏览至压缩的 shapefile 后,Portal for ArcGIS 和 Web App Builder Developer 版本中包含的“添加数据”微件将无法绘制结果。
  • BUG-000104949 - WGS84 坐标系中的底图不会在“项目详细信息设置范围”对话框中绘制。
  • BUG-000103846 - Portal for ArcGIS 具有硬编码凭据漏洞。
  • ENH-000103213 - 添加选项以强制在 Portal for ArcGIS 和 Active Directory 之间执行加密通信。
为避免冲突,10.4.1 版本还处理:
  • BUG-000117369 - 项目 URL 中存在反映的跨站点脚本 (XSS)
  • BUG-000117564 - 权限升级漏洞
  • BUG-000117367 - Portal for ArcGIS 中的重定向未经验证。
  • BUG-000114489 - Keyhole 标记语言 (KML) servlet 未完全支持代理设置。
  • BUG-000114325 - 更新到 Chrome 67 后,Portal for ArcGIS 10.3.x 和 10.4.x 中的多个页面无法正确显示。
  • BUG-000112749 - ArcGIS Online Map Viewer 中存在反映的跨站点脚本 (XSS)。
  • BUG-000112707 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)。
  • BUG-000112360 - Portal for ArcGIS Web Application Builder 中存在跨站点脚本 (XSS) 漏洞。
  • BUG-000112358 - 清理提供给图例资源的 URL 可以移除 SOAP URL 中的无效字符。
  • BUG-000112357 - Portal for ArcGIS 的 /portal/sharing/login 和 portal/sharing/rest/login 端点中的重定向未经验证。
  • BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer 中存在反映的跨站点脚本 (XSS) 问题。
  • BUG-000110291 - Portal for ArcGIS 不应解析实体标签。
  • BUG-000110290 - 从 Portal for ArcGIS 内部数据库中移除无效的记录条目。
  • BUG-000101562 - 将 Java Web Adaptor 与 Apache Tomcat 7.0.73+ 或 8.0.39+ 搭配使用时,无法访问 Portal for ArcGIS 的“编辑设置”选项。
  • BUG-000108753 - 已启用门户层身份验证和自动帐户创建的已配置 Portal for ArcGIS 将创建超过可用许可数量的帐户。
  • BUG-000108155 - 对于配置了集成 Windows 身份验证 (IWA) 并与 ArcGIS Server 联合的门户,一旦令牌到期,则会在 Map Viewer 中触发无限的 generateToken 请求。
  • BUG-000104718 - 如果将切片图层作为具有存储凭据的项目进行添加,则 Portal for ArcGIS Map Viewer 中不会显示来自 ArcGIS Online 的托管切片图层的切片。
  • BUG-000104116 - 使用企业登录帐户向 Portal for ArcGIS 添加成员时,无法添加用户名少于六个字符的用户,即使 Portal for ArcGIS 中实际不存在此类限制时也是如此。
  • BUG-000103731 - 在高可用性门户部署中,如果主节点失去与内容目录的连接,则主节点将恢复为“创建新站点”状态。
  • BUG-000103700 - 如果未选中“允许匿名访问门户”,则门户登录页面将以英语而非默认语言显示。
  • BUG-000102927 - 当图层在 Map Viewer 中显示缓慢时,表示图层无响应的消息在图层绘制完成后无法自动清除。
  • BUG-000102793 - 较大的活动目录组结构将导致 Portal for ArcGIS 出现延迟问题。
  • BUG-000100424 - 使用“通过地图服务查看结果”参数发布地理处理服务时,Web AppBuilder for ArcGIS 地理处理微件将无法显示输出表。
  • BUG-000100420 - 当取消选中图层组并选中子图层时,一旦为地图服务要素图层刷新或再次启动应用程序,“图层列表”微件中图层的复选框将不起作用。
  • BUG-000099447 - 将浏览器更新到 Firefox 49 或 Chrome 54 后,无法在门户主页应用程序中上传文件。
  • BUG-000098559 - Portal for ArcGIS 中的重定向未经验证。
  • BUG-000098482 - Portal for ArcGIS 中存在跨站点脚本 (XSS) 问题。
  • BUG-000098148 - 刷新企业用户和群组的成员资格无法支持通用群组中的嵌套组成员资格。
  • BUG-000098118 - Portal for ArcGIS 显示内部信息。
  • BUG-000098025 - 绕过 Portal for ArcGIS 中的 URL 重定向规则。
  • BUG-000097777 - 使用 WebContextURL 属性定义反向代理时,支持 Portal for ArcGIS 的 SAML 登录帐户。
  • BUG-000096571 - Portal for ArcGIS 中的 cookie 上不存在安全属性。
  • BUG-000096570 - Portal for ArcGIS 中可能存在反映的跨站点脚本 (XSS)。
  • BUG-000096161 - 在 Portal for ArcGIS Map Viewer 中使用空间分析工具执行分析时,返回错误“无法刷新项目”。 当 ArcGIS Web Adaptor(或任何反向代理)位于与托管 ArcGIS Server 不同的计算机上时,会发生此错误。
  • BUG-000094537- 对于名称与其他域中群组的名称相同的企业级群组,其中的 Active Directory 用户即使不属于其他域中群组,也可以访问 Portal for ArcGIS 10.4。
  • BUG-000094523 - 跨域用户无法在 Portal for ArcGIS 10.4 中查看其所属的企业级群组。
  • BUG-000091316 - 某些门户上传操作无法正确验证文件类型。
  • ENH-000103213 - 添加选项以强制在 Portal for ArcGIS 和 Active Directory 之间执行加密通信。
  • ENH-000092759 - 支持最小长度为 3 个字符的企业用户名。
  • NIM104313 - 在 Portal for ArcGIS 中注销企业用户不会将用户注销信息传递给相应的 SAML 身份提供者。

在 Windows 上安装此修补程序


安装步骤:


必须先在系统中安装表中列出的 ArcGIS 产品,然后才能安装修补程序。 每个修补程序安装程序都特定用于列表中对应的 ArcGIS 产品。 要确定系统上安装了哪些产品,请参阅 如何确定已安装的 ArcGIS 产品部分。 Esri 建议您为系统上的每个产品安装修补程序。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。

  2. ArcGIS 10.6.1   校验和 (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch.msp 51EF857E8B4525DFEE08048FBC89B5DC
         
    ArcGIS 10.5.1   校验和 (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch.msp E3B68D2062256231C5B194CBC867C7C0
         
    ArcGIS 10.4.1   校验和 (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch.msp B4BD88CE425D928321C44F5FE6743FE1
         

  3. 请确保具有对 ArcGIS 安装位置的写入权限。

  4. 双击 ArcGIS-<版本>-PFA-SEC2019U1-Patch.msp 启动安装过程。

    注:如果双击 MSP 文件后未启动安装程序的安装进程,可使用下列命令手动启动安装进程:

    msiexec.exe /p [修补程序位置]\ArcGIS-<版本>-PFA-SEC2019U1-Patch.msp


在 Linux 上安装此修补程序


安装步骤:


以 ArcGIS 安装所有者身份完成以下安装步骤。 安装所有者为 arcgis 文件夹的所有者。

必须先在系统中安装表中列出的 ArcGIS 产品,然后才能安装修补程序。 每个修补程序安装程序都特定用于列表中对应的 ArcGIS 产品。 要确定系统上安装了哪些产品,请参阅 如何确定已安装的 ArcGIS 产品部分。 Esri 建议您为系统上的每个产品安装修补程序。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。


    ArcGIS 10.6.1   校验和 (Md5)
         
        Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U1-Patch-linux.tar DFFE5A971B8D2EF4124BE0E659782F80
         
    ArcGIS 10.5.1   校验和 (Md5)
         
        Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U1-Patch-linux.tar 342660988AD4393D9EB45A5D59D6C876
         
    ArcGIS 10.4.1   校验和 (Md5)
         
        Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U1-Patch-linux.tar BC31A417DC58A3751366FE5AF5A0E65F
         

  2. 请确保具有对 ArcGIS 安装位置的写入权限,并且当前没有用户正在使用 ArcGIS。

  3. 输入下列命令提取指定的 tar 文件:

    % tar -xvf ArcGIS-<版本>-PFA-SEC2019U1-Patch-linux.tar

  4. 输入下列命令启动安装过程:

    % ./applypatch

    这将启动菜单驱动安装步骤的对话框。 默认选项以圆括号 ( ) 注明。您可随时输入“q”退出安装流程。

在 Windows 上卸载此修补程序


    要在 Windows 上卸载此修补程序,请打开 Windows 控制面板,然后导航至已安装的程序。 确保“查看已安装的更新”(位于“程序和功能”对话框的左上角)处于活动状态。 从程序列表中选择修补程序名称,然后单击“卸载”以移除该修补程序。

在 Linux 上卸载此修补程序


卸载此修补程序仅适用于 10.6 及更高版本。 要移除此修补程序,请导航到 /tmp 目录,然后以 ArcGIS 安装所有者身份运行以下脚本:

./patchremove

注:仅限移除最近安装的修补程序。

CVSS 3.0 评级

Esri 现在在修补程序中解决的每个安全问题中都包含了 CVSS(通用漏洞评分系统)评分,为您提供一种对问题严重性进行排名的方法。 下表概述了排名。

严重性 基础得分范围
0.0
Low 0.1 - 3.9
中速 4.0 - 6.9
High 7.0 - 8.9
重要 9.0 - 10.0

修补程序更新

请定期访问修补程序和补丁包页面,以检查是否存在其他可用的修补程序。 将在此处发布有关此修补程序的最新信息。

如何确定已安装的 ArcGIS 产品

要确定已安装的 ArcGIS 产品,请选择适用于您的环境的适当 PatchFinder 实用程序版本,然后在本地计算机上运行它。 PatchFinder 将列出已在本地计算机上安装的所有产品、热修复程序和修补程序。

获取帮助

如果在安装此修补程序时遇到任何问题,美国用户请拨打 Esri 技术支持热线 1-888-377-4575。 国际用户请联系您当地的 Esri 软件分销商