Patches and updates

Portal for ArcGIS Security 2018 Update 3 Patch

Published: November 5, 2018

摘要

此安全修补程序可解决 Portal for ArcGIS 中发现的多个安全漏洞。 Esri 建议所有使用 Portal for ArcGIS 10.6.1、10.5.1、10.4.1 和 10.3.1 的客户都应用此修补程序。

说明

Esri® 宣布推出 Portal for ArcGIS Security 2018 Update 3 Patch。 Esri 建议所有使用 Portal for ArcGIS 10.6.1、10.5.1、10.4.1 和 10.3.1 的客户都应用此修补程序。 此修补程序专门处理此修补程序解决的问题下方列出的问题。 此安全修补程序为累积修补程序,其中包括一些早期修补程序中的安全及非安全相关修复程序,这些修复程序也在以下的此修补程序解决的问题下列出。


此修补程序解决的问题


  • BUG-000117369 - 项目 URL 中存在反映的跨站点脚本 (XSS)
  • BUG-000117564 - 权限升级漏洞
  • BUG-000117367 - Portal for ArcGIS 中的重定向未经验证。
  • BUG-000112707 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)。
  • ENH-000103213 - 添加选项以强制在 Portal for ArcGIS 和 Active Directory 之间执行加密通信。
为避免冲突,10.6.1 版本还处理:
  • BUG-000116870 - 无法与所有人共享 Insights 工作簿、页面和模型项目。
  • BUG-000115859:从缩放级别 18 开始,与通过 ArcGIS Server 10.6.1 以地图服务器级别添加的地图服务的面形状相比,所选面的选择形状将有所不同。
  • BUG-000112342:将 Geo Analytics Server 联合并注册到门户作为 Geo Analytics Server 时,webgisdr 增量恢复将失败。
为避免冲突,10.5.1 版本还处理:
  • BUG-000116992 - 在 Portal for ArcGIS Map Viewer 中配置“创建缓冲区”分析工具时,在不同几何类型之间更改输入缓冲图层将无法正确刷新可用缓冲区选项。
  • BUG-000114549 - 在深色背景下,必须增大 Web AppBuilder for ArcGIS 中范围导航器的活动与非活动箭头之间的对比度。
  • BUG-000114489 - Keyhole 标记语言 (KML) servlet 未完全支持代理设置。
  • BUG-000114488 - Portal for ArcGIS 索引服务存在安全漏洞。
  • BUG-000111424 - 在“绘图”、“测量”和“坐标”微件之间进行切换时将显示弹出窗口。
  • BUG-000113157 - 如果备份包含 Thumbs.db 文件,则 Portal for ArcGIS 导入站点将失败。
  • BUG-000112749 - ArcGIS Online Map Viewer 中存在反映的跨站点脚本 (XSS)。
  • BUG-000112595 - 在“共享”微件中单击电子邮件链接会导致弹出不需要的浏览器导航提示。
  • BUG-000112059 - 在 Portal for ArcGIS 中,如果托管要素图层按点、面和折线的顺序排列,则在 Web AppBuilder for ArcGIS 的“分析”微件中,“缓冲区”工具的“选择”选项将保持固定并返回到点。
  • BUG-000112477 -“添加标记”要素操作未按预期工作。
  • BUG-000112360 - Portal for ArcGIS Web Application Builder 中存在跨站点脚本 (XSS) 漏洞。
  • BUG-000112358 - 清理提供给图例资源的 URL 可以移除 SOAP URL 中的无效字符。
  • BUG-000112357 - Portal for ArcGIS 的 /portal/sharing/login 和 portal/sharing/rest/login 端点中的重定向未经验证。
  • BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer 中存在反映的跨站点脚本 (XSS) 问题。
  • BUG-000112088 - Portal for ArcGIS 10.5.1 Web 地图中的“显示表”操作不返回图像服务的属性。
  • BUG-000112026 - 应用 Portal for ArcGIS 安全性 2018 更新 1 修补程序后,在登录 Portal for ArcGIS 主页应用程序时,如果域用户键入了错误的密码,则所有域用户将被 Portal for ArcGIS 锁定。
  • BUG-000111942 - 应用过滤器时,共享要素图层上不会保留符号系统,且其他用户可以访问该图层以创建自己的 Web 地图。
  • BUG-000110677 - 对屏幕进行缩小时,将不会从屏幕上清除以前绘制的数据。
  • BUG-000110632 - 将基于 GeoEvent 的地图和要素服务都添加到 Map Viewer 内容列表时,不应将存在关联的上述地图和服务组合在一起。
  • BUG-000110291 - Portal for ArcGIS 不应解析实体标签。
  • BUG-000110290 - 从 Portal for ArcGIS 内部数据库中移除无效的记录条目。
  • BUG-000111090 - 在通过 Portal for ArcGIS 中 Web AppBuilder 的“添加数据”微件添加的图层上使用“创建图层”功能时,“选择”微件将丢失所选内容。
  • BUG-000111077 - 执行错误:关闭图层可见性的情况下在门户 Web 地图中编辑标注时会有非法值分配到要素。
  • BUG-000111058 - Arcade Editor 调用“fast.fonts.net”域,导致断开连接的网络出现严重延迟。
  • BUG-000110542 - 在 Web AppBuilder for ArcGIS 中,如果仅选择一个要素,则不会启用“创建图层”选项。
  • BUG-000109870 - 在 Map Viewer 中,矢量切片在缩小时不遵循可见比例设置,且面将分布在不相邻区域中。
  • BUG-000109517 - 在 10.5.1 Portal for ArcGIS Map Viewer 中,在指定了“允许对地图服务发布分配唯一的数字 ID”设置的情况下,“创建标注”面板不适用于从地图文档发布的地图服务。
  • BUG-000108753 - 已启用门户层身份验证和自动帐户创建的已配置 Portal for ArcGIS 将创建超过可用许可数量的帐户。
  • BUG-000108364 - 浏览至 CSV 文件后,Portal for ArcGIS 和 Web App Builder Developer 版本中包含的“添加数据”微件将返回错误。
  • BUG-000108155 - 对于配置了集成 Windows 身份验证 (IWA) 并与 ArcGIS Server 联合的门户,一旦令牌到期,则会在 Map Viewer 中触发无限的 generateToken 请求。
  • BUG-000107814 - “创建标注”在 Portal for ArcGIS 10.5.1 for ArcGIS Server 10.5.1 Map Services 中不起作用。
  • BUG-000107440 - 当证书中未列出实际的计算机名称时,Portal for ArcGIS 将不允许访问 portaladmin。
  • BUG-000107004 - 在 Internet Explorer 中,针对 Portal for ArcGIS 10.5.1 中的 Web AppBuilder for ArcGIS 运行“提取数据任务”地理处理服务时,将返回错误消息。
  • BUG-000106909 - 过滤地图服务不会过滤 Web 地图中的属性表。
  • BUG-000106917 - 当启用“仅 HTTPS”时,由于所请求切片上存在证书不匹配错误,Portal for ArcGIS 10.5.1 Map Viewer 不会加载 Bing Roads Base Map。
  • BUG-000106874 - 使用按图层搜索功能时,附件不会保留在 Web 地图的弹出窗口中。
  • BUG-000106303 - Portal for ArcGIS 未完全遵循安全性配置中的“domainControllerAddress”设置。
  • BUG-000105202 - 使用保存的凭据访问门户中的安全服务时,代理的生成令牌请求不支持 nonProxyHosts 参数。
  • BUG-000105062 - 浏览至压缩的 shapefile 后,Portal for ArcGIS 和 Web App Builder Developer 版本中包含的“添加数据”微件将无法绘制结果。
  • BUG-000104949 - WGS84 坐标系中的底图不会在“项目详细信息设置范围”对话框中绘制。
  • BUG-000103846 - Portal for ArcGIS 具有硬编码凭据漏洞。
为避免冲突,10.4.1 版本还处理:
  • BUG-000114489 - Keyhole 标记语言 (KML) servlet 未完全支持代理设置。
  • BUG-000114325 - 更新到 Chrome 67 后,Portal for ArcGIS 10.3.x 和 10.4.x 中的多个页面无法正确显示。
  • BUG-000112749 - ArcGIS Online Map Viewer 中存在反映的跨站点脚本 (XSS)。
  • BUG-000112360 - Portal for ArcGIS Web Application Builder 中存在跨站点脚本 (XSS) 漏洞。
  • BUG-000112358 - 清理提供给图例资源的 URL 可以移除 SOAP URL 中的无效字符。
  • BUG-000112357 - Portal for ArcGIS 的 /portal/sharing/login 和 portal/sharing/rest/login 端点中的重定向未经验证。
  • BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer 中存在反映的跨站点脚本 (XSS) 问题。
  • BUG-000110291 - Portal for ArcGIS 不应解析实体标签。
  • BUG-000110290 - 从 Portal for ArcGIS 内部数据库中移除无效的记录条目。
  • BUG-000101562 - 将 Java Web Adaptor 与 Apache Tomcat 7.0.73+ 或 8.0.39+ 搭配使用时,无法访问 Portal for ArcGIS 的“编辑设置”选项。
  • BUG-000108753 - 已启用门户层身份验证和自动帐户创建的已配置 Portal for ArcGIS 将创建超过可用许可数量的帐户。
  • BUG-000108155 - 对于配置了集成 Windows 身份验证 (IWA) 并与 ArcGIS Server 联合的门户,一旦令牌到期,则会在 Map Viewer 中触发无限的 generateToken 请求。
  • BUG-000104718 - 如果将切片图层作为具有存储凭据的项目进行添加,则 Portal for ArcGIS Map Viewer 中不会显示来自 ArcGIS Online 的托管切片图层的切片。
  • BUG-000104116 - 使用企业登录帐户向 Portal for ArcGIS 添加成员时,无法添加用户名少于六个字符的用户,即使 Portal for ArcGIS 中实际不存在此类限制时也是如此。
  • BUG-000103731 - 在高可用性门户部署中,如果主节点失去与内容目录的连接,则主节点将恢复为“创建新站点”状态。
  • BUG-000103700 - 如果未选中“允许匿名访问门户”,则门户登录页面将以英语而非默认语言显示。
  • BUG-000102927 - 当图层在 Map Viewer 中显示缓慢时,表示图层无响应的消息在图层绘制完成后无法自动清除。
  • BUG-000102793 - 较大的活动目录组结构将导致 Portal for ArcGIS 出现延迟问题。
  • BUG-000100424 - 使用“通过地图服务查看结果”参数发布地理处理服务时,Web AppBuilder for ArcGIS 地理处理微件将无法显示输出表。
  • BUG-000100420 - 当取消选中图层组并选中子图层时,一旦为地图服务要素图层刷新或再次启动应用程序,“图层列表”微件中图层的复选框将不起作用。
  • BUG-000099447 - 将浏览器更新到 Firefox 49 或 Chrome 54 后,无法在门户主页应用程序中上传文件。
  • BUG-000098559 - Portal for ArcGIS 中的重定向未经验证。
  • BUG-000098482 - Portal for ArcGIS 中存在跨站点脚本 (XSS) 问题。
  • BUG-000098148 - 刷新企业用户和群组的成员资格无法支持通用群组中的嵌套组成员资格。
  • BUG-000098118 - Portal for ArcGIS 显示内部信息。
  • BUG-000098025 - 绕过 Portal for ArcGIS 中的 URL 重定向规则。
  • BUG-000097777 - 使用 WebContextURL 属性定义反向代理时,支持 Portal for ArcGIS 的 SAML 登录帐户。
  • BUG-000096571 - Portal for ArcGIS 中的 cookie 上不存在安全属性。
  • BUG-000096570 - Portal for ArcGIS 中可能存在反映的跨站点脚本 (XSS)。
  • BUG-000096161 - 在 Portal for ArcGIS Map Viewer 中使用空间分析工具执行分析时,返回错误“无法刷新项目”。 当 ArcGIS Web Adaptor(或任何反向代理)位于与托管 ArcGIS Server 不同的计算机上时,会发生此错误。
  • BUG-000094537- 对于名称与其他域中群组的名称相同的企业级群组,其中的 Active Directory 用户即使不属于其他域中群组,也可以访问 Portal for ArcGIS 10.4。
  • BUG-000094523 - 跨域用户无法在 Portal for ArcGIS 10.4 中查看其所属的企业级群组。
  • BUG-000091316 - 某些门户上传操作无法正确验证文件类型。
  • ENH-000092759 - 支持最小长度为 3 个字符的企业用户名。
  • NIM104313 - 在 Portal for ArcGIS 中注销企业用户不会将用户注销信息传递给相应的 SAML 身份提供者。
为避免冲突,10.3.1 版本还处理:
  • BUG-000114489 - Keyhole 标记语言 (KML) servlet 未完全支持代理设置。
  • BUG-000114325 - 更新到 Chrome 67 后,Portal for ArcGIS 10.3.x 和 10.4.x 中的多个页面无法正确显示。
  • BUG-000112749 - ArcGIS Online Map Viewer 中存在反映的跨站点脚本 (XSS)。
  • BUG-000112360 - Portal for ArcGIS Web Application Builder 中存在跨站点脚本 (XSS) 漏洞。
  • BUG-000112358 - 清理提供给图例资源的 URL 可以移除 SOAP URL 中的无效字符。
  • BUG-000112357 - Portal for ArcGIS 的 /portal/sharing/login 和 portal/sharing/rest/login 端点中的重定向未经验证。
  • BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer 中存在反映的跨站点脚本 (XSS) 问题。
  • BUG-000110291 - Portal for ArcGIS 不应解析实体标签。
  • BUG-000110290 - 从 Portal for ArcGIS 内部数据库中移除无效的记录条目。
  • BUG-000108753 - 已启用门户层身份验证和自动帐户创建的已配置 Portal for ArcGIS 将创建超过可用许可数量的帐户。
  • BUG-000108155 - 对于配置了集成 Windows 身份验证 (IWA) 并与 ArcGIS Server 联合的门户,一旦令牌到期,则会在 Map Viewer 中触发无限的 generateToken 请求。
  • BUG-000101456 - 当 Portal for ArcGIS 已使用集成 Windows 身份验证 (IWA) 进行安全保护时,托管在 Web 服务器(除 Portal for ArcGIS 计算机以外)上的 Web AppBuilder for ArcGIS 应用程序无法在 30 分钟空闲时间后显示要素图层。
  • BUG-000099447 - 将浏览器更新到 Firefox 49 或 Chrome 54 后,无法在门户主页应用程序中上传文件。
  • BUG-000098559 - Portal for ArcGIS 中的重定向未经验证。
  • BUG-000098482 - Portal for ArcGIS 中存在跨站点脚本 (XSS) 问题。
  • BUG-000098118 - Portal for ArcGIS 显示内部信息。
  • BUG-000098025 - 绕过 Portal for ArcGIS 中的 URL 重定向规则。
  • BUG-000097640 - 将 BasemapGallery dijit 与缓存的图像服务一同用作底图时,BasemapGallery dijit 将发送导出图像请求而非切片请求。
  • BUG-000096889 - 当门户的 IP 地址解析为两个不同的完全限定域名时,ArcGIS Server 无法与 Portal for ArcGIS 通信。
  • BUG-000096571 - Portal for ArcGIS 中的 cookie 上不存在安全属性。
  • BUG-000096570 - Portal for ArcGIS 中可能存在反映的跨站点脚本 (XSS)。
  • BUG-000094105 - 门户 generatetoken 操作无法拒绝在查询参数中包含用户名或密码的 POST 请求。
  • BUG-000092447 - Tomcat 漏洞 CVE-2014-0099 - 整数溢出攻击。
  • BUG-000092445 - Tomcat 漏洞“CVE-2014-0230 - 通过线程消耗的拒绝服务攻击”。
  • BUG-000091354 - 门户无法刷新门户服务器所在域之外的用户的成员资格。
  • BUG-000091316 - 某些门户上传操作无法正确验证文件类型。
  • BUG-000090845 - 限制访问 Tomcat 内部关闭端口。
  • BUG-000090552 - 在 Portal for ArcGIS 10.3.1 中编辑项目的 URL 设置时,项目 URL 不会保存并恢复为原始 URL。 (仅限 Linux)
  • BUG-000090024 - 无法在 Portal for ArcGIS 中为具有唯一图层 ID 的地图服务要素图层配置弹出窗口。
  • BUG-000088826 - 从 10.3 或更早版本升级后,用户无法更改 Portal for ArcGIS 中内置门户帐户的密码。
  • BUG-000088682 - 将门户配置为“仅 SSL”时,Web AppBuilder URL 将保存为 HTTP 而非 HTTPs。
  • BUG-000088663 - 当使用来自非 ArcGIS for Server WMTS 服务器的 WGS84 的 Web 地图切片服务 (WMTS) 服务被用作 Portal for ArcGIS 中的底图时,来自世界地理编码服务的地理编码结果会显示在错误的位置。
  • BUG-000088505 - 如果共享内容文件夹不可用,则不应将门户高可用性配置重置为独立门户。
  • BUG-000086481 - 在 Map Viewer 中重新投影托管服务时,会显示不正确的几何。
  • BUG-000085589 - 当门户和 ArcGIS Server 都配置为使用集成 Windows 身份验证 (IWA) 且两个 Web Adaptor 都部署在同一服务器上时,无法显示直接添加到门户 Web 地图的地图图层。
  • BUG-000085482- 在 Portal for ArcGIS 10.3 中搜索要素图层中的值时,如果忽略了 supportsPagination 参数,则会发生故障。
  • BUG-000084180 - 在 Portal for ArcGIS 中编辑用户个人资料时,“编辑我的个人资料”页面下的“名字”和“姓氏”文本字段始终显示为空白。

在 Windows 上安装此修补程序


安装步骤:


在安装此修补程序之前,必须先安装 Portal for ArcGIS 10.6.1、10.5.1、10.4.1 或 10.3.1。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。

  2. Portal for ArcGIS   校验和 (Md5)
         
        10.6.1 ArcGIS-1061-PFA-SEC2018U3-Patch.msp 75E7CB993A48F676967056F71FCE77B9
         
        10.5.1 ArcGIS-1051-PFA-SEC2018U3-Patch.msp 988C85C9CB119EE93073AFA9CDDC6298
         
        10.4.1 ArcGIS-1041-PFA-SEC2018U3-Patch.msp A2C59FC73B68DD76A9DCEE46C47FDCBE
         
        10.3.1 ArcGIS-1031-PFA-SEC2018U3-Patch.msp 02218DB8DF9465B9129792D0E6BB7263
         

  3. 请确保具有对 ArcGIS 安装位置的写入权限。

  4. 双击 ArcGIS-<版本>-PFA-SEC2018U3-Patch.msp 启动安装过程。

    注:如果双击 MSP 文件后未启动安装程序的安装进程,可使用下列命令手动启动安装进程:

    msiexec.exe /p [修补程序位置]\ArcGIS-<版本>-PFA-SEC2018U3-Patch.msp


在 Linux 上安装此修补程序


安装步骤:


以 ArcGIS 安装所有者身份完成以下安装步骤。 安装所有者为 arcgis 文件夹的所有者。

在安装此修补程序之前,必须先安装 Portal for ArcGIS 10.6.1、10.5.1、10.4.1 或 10.3.1。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。


    Portal for ArcGIS   校验和 (Md5)
         
        10.6.1 ArcGIS-1061-PFA-SEC2018U3-Patch-linux.tar C835DAE0805D020CC50A70FCA602FE11
         
        10.5.1 ArcGIS-1051-PFA-SEC2018U3-Patch-linux.tar 83EFD9403CA246E29E52FA38511D5C30
         
        10.4.1 ArcGIS-1041-PFA-SEC2018U3-Patch-linux.tar 5C6BD7F6314502B53C955EB1F59C5EAC
         
        10.3.1 ArcGIS-1031-PFA-SEC2018U3-Patch-linux.tar 19C274009BF572AC88DD6B96AB8D192B
         

  2. 请确保具有对 ArcGIS 安装位置的写入权限,并且当前没有用户正在使用 ArcGIS。

  3. 输入下列命令提取指定的 tar 文件:

    % tar -xvf ArcGIS-<版本>-PFA-SEC2018U3-Patch-linux.tar

  4. 输入下列命令启动安装过程:

    % ./applypatch

    这将启动菜单驱动安装步骤的对话框。 默认选项以圆括号 ( ) 注明。您可随时输入“q”退出安装流程。

在 Windows 上卸载此修补程序


  • 要在 Windows 上卸载此修补程序,请打开 Windows 控制面板,然后导航至已安装的程序。 确保“查看已安装的更新”(位于“程序和功能”对话框的左上角)处于活动状态。 从程序列表中选择修补程序名称,然后单击“卸载”以移除该修补程序。

在 Linux 上卸载此修补程序


卸载此修补程序仅适用于 10.6 及更高版本。 要移除此修补程序,请导航到 /tmp 目录,然后以 ArcGIS 安装所有者身份运行以下脚本:

./patchremove

注:仅限移除最近安装的修补程序。

修补程序更新

请定期访问修补程序和补丁包页面,以检查是否存在其他可用的修补程序。 将在此处发布有关此修补程序的最新信息。

2018 年 12 月 27 日:已使用 10.5.1 版本的累积列表对页面进行了更新。

如何确定已安装的 ArcGIS 产品

要确定已安装的 ArcGIS 产品,请选择适用于您的环境的适当 PatchFinder 实用程序版本,然后在本地计算机上运行它。 PatchFinder 将列出已在本地计算机上安装的所有产品、热修复程序和修补程序。

获取帮助

如果在安装此修补程序时遇到任何问题,美国用户请拨打 Esri 技术支持热线 1-888-377-4575。 国际用户请联系您当地的 Esri 软件分销商



Download ID:7660

Get help from ArcGIS experts

Contact technical support

Download the Esri Support App

Go to download options