Patches and updates
Portal for ArcGIS Security 2019 Update 2 Patch
摘要
说明
Esri® 宣布推出 Portal for ArcGIS Security 2019 Update 2 Patch。 Esri 建议所有使用 Portal for ArcGIS 10.7.1、10.6.1、10.5.1 和 10.4.1 的客户都应用此修补程序。 此修补程序专门处理此修补程序解决的问题下方列出的问题。
注意:此安全修补程序是累积性的,这意味着它包含之前版本的修补程序中的一些与安全性和非安全性相关的修补程序。 有关这些修补程序所解决问题的完整列表,请参见此修补程序解决的问题部分。
此修补程序解决的问题
- BUG-000125434 - 在 Portal for ArcGIS 10.7.1 中,具有 GPDataFile 输入类型的地理处理服务不提供在 Web AppBuilder for ArcGIS 地理处理微件中上载文件的选项。
- BUG-000125033 - 通过集成 Windows 身份验证 (IWA) 登录的用户无法在 Map Viewer 的“我的组织”下搜索图层。
- BUG-000124953 - Portal for ArcGIS 应用程序信息暴露
- BUG-000123690 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)
CVSS 3.0 基本得分:5.4 - CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N - BUG-000119891 - Portal for ArcGIS 配置文件允许 HTML 注入(仅在 10.6.1 和 10.5.1 中)
CVSS 3.0 基本得分:3.5 - CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
- BUG-000121145 - 门户代理未完全验证 allowedProxyHosts 参数
CVSS 3.0 基本得分:4.0 - CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N - BUG-000120392 -“智能编辑器”微件无法在 Portal for ArcGIS 10.6.1 中设置属性操作表达式
- BUG-000120333 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)
CVSS 3.0 基本得分:8.8 - CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - BUG-000120061 - 当同一个要素类存在多个关系时,相关数据指向 Web AppBuilder for ArcGIS for Portal for ArcGIS 中的同一个要素。
- BUG-000117926 - 当访客参与者的内容目录使用云存储时,无法同步协作工作空间。
- BUG-000117564 - 权限升级漏洞
- BUG-000117369 - 项目 URL 中存在反映的跨站点脚本 (XSS)
- BUG-000117367 - Portal for ArcGIS 中的重定向未经验证。
- BUG-000116870 - 无法与所有人共享 Insights 工作簿、页面和模型项目。
- BUG-000116734 -“编辑”微件无法始终支持“属性表”微件的所选内容。
- BUG-000116687 - 从 Portal for ArcGIS Map Viewer 中的工具参数创建的时间过滤器格式错误,并导致工具故障。
- BUG-000115964 - 禁用外部内容后,应用程序启动器不可用。
- BUG-000115859 - 从缩放级别 18 开始,与通过 ArcGIS Server 10.6.1 以地图服务器级别添加的地图服务的面形状相比,所选面的选择形状将有所不同。
- BUG-000114004 -“属性表”微件中的“显示相关记录”选项无法在相关表中返回任何记录。
- BUG-000112707 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)。
- BUG-000112342 - 将 Geo Analytics Server 联合并注册到门户作为 Geo Analytics Server 时,webgisdr 增量恢复将失败。
- ENH-000123305 - 包括关系名称和表名称,以更好地区分同一表上的不同关系。
- ENH-000116621 - 添加功能:修改使用启动 IDP 登录时登录到 Portal for ArcGIS 所生成的令牌的最长过期时间。
- BUG-000122276 - 使用自定义角色登录时,将项目共享到组时,门户项目详细信息显示“共享者:项目未共享”。
- BUG-000121145 - 门户代理未完全验证 allowedProxyHosts 参数
CVSS 3.0 基本得分:4.0 - CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N - BUG-000120333 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)
CVSS 3.0 基本得分:8.8 - CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - BUG-000117564 - 权限升级漏洞
- BUG-000117369 - 项目 URL 中存在反映的跨站点脚本 (XSS)
- BUG-000117367 - Portal for ArcGIS 中的重定向未经验证。
- BUG-000116992 - 在 Portal for ArcGIS Map Viewer 中配置“创建缓冲区”分析工具时,在不同几何类型之间更改输入缓冲图层将无法正确刷新可用缓冲区选项。
- BUG-000114549 - 在深色背景下,必须增大 Web AppBuilder for ArcGIS 中范围导航器的活动与非活动箭头之间的对比度。
- BUG-000114533 - 如果门户恢复或升级失败,则应自动回滚到先前的状态。
- BUG-000114489 - Keyhole 标记语言 (KML) servlet 未完全支持代理设置。
- BUG-000114488 - Portal for ArcGIS 索引服务存在安全漏洞。
- BUG-000113157 - 如果备份包含 Thumbs.db 文件,则 Portal for ArcGIS 导入站点将失败。
- BUG-000112749 - ArcGIS Online Map Viewer 中存在反映的跨站点脚本 (XSS)。
- BUG-000112707 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)。
- BUG-000112595 - 在“共享”微件中单击电子邮件链接会导致弹出不需要的浏览器导航提示。
- BUG-000112477 -“添加标记”要素操作未按预期工作。
- BUG-000112360 - Portal for ArcGIS Web Application Builder 中存在跨站点脚本 (XSS) 漏洞。
- BUG-000112358 - 清理提供给图例资源的 URL 可以移除 SOAP URL 中的无效字符。
- BUG-000112357 - Portal for ArcGIS 的 /portal/sharing/login 和 portal/sharing/rest/login 端点中的重定向未经验证。
- BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer 中存在反映的跨站点脚本 (XSS) 问题。
- BUG-000112088 - Portal for ArcGIS 10.5.1 Web 地图中的“显示表”操作不返回图像服务的属性。
- BUG-000112059 - 在 Portal for ArcGIS 中,如果托管要素图层按点、面和折线的顺序排列,则在 Web AppBuilder for ArcGIS 的“分析”微件中,“缓冲区”工具的“选择”选项将保持固定并返回到点。
- BUG-000112026 - 应用 Portal for ArcGIS 安全性 2018 更新 1 修补程序后,在登录 Portal for ArcGIS 主页应用程序时,如果域用户键入了错误的密码,则所有域用户将被 Portal for ArcGIS 锁定。
- BUG-000111942 - 应用过滤器时,共享要素图层上不会保留符号系统,且其他用户可以访问该图层以创建自己的 Web 地图。
- BUG-000111424 - 在“绘图”、“测量”和“坐标”微件之间进行切换时将显示弹出窗口。
- BUG-000111090 - 在通过 Portal for ArcGIS 中 Web AppBuilder 的“添加数据”微件添加的图层上使用“创建图层”功能时,“选择”微件将丢失所选内容。
- BUG-000111077 - 执行错误:关闭图层可见性的情况下在门户 Web 地图中编辑标注时会有非法值分配到要素。
- BUG-000111058 - Arcade Editor 调用“fast.fonts.net”域,导致断开连接的网络出现严重延迟。
- BUG-000110677 - 对屏幕进行缩小时,将不会从屏幕上清除以前绘制的数据。
- BUG-000110632 - 将基于 GeoEvent 的地图和要素服务都添加到 Map Viewer 内容列表时,不应将存在关联的上述地图和服务组合在一起。
- BUG-000110542 - 在 Web AppBuilder for ArcGIS 中,如果仅选择一个要素,则不会启用“创建图层”选项。 (不包含在 Doc 中)
- BUG-000110291 - Portal for ArcGIS 不应解析实体标签。
- BUG-000110290 - 从 Portal for ArcGIS 内部数据库中移除无效的记录条目。
- BUG-000109870 - 在 Map Viewer 中,矢量切片在缩小时不遵循可见比例设置,且面将分布在不相邻区域中。
- BUG-000109517 - 在 10.5.1 Portal for ArcGIS Map Viewer 中,在指定了“允许对地图服务发布分配唯一的数字 ID”设置的情况下,“创建标注”面板不适用于从地图文档发布的地图服务。
- BUG-000108753 - 已启用门户层身份验证和自动帐户创建的已配置 Portal for ArcGIS 将创建超过可用许可数量的帐户。
- BUG-000108364 - 浏览至 CSV 文件后,Portal for ArcGIS 和 Web App Builder Developer 版本中包含的“添加数据”微件将返回错误。
- BUG-000108155 - 对于配置了集成 Windows 身份验证 (IWA) 并与 ArcGIS Server 联合的门户,一旦令牌到期,则会在 Map Viewer 中触发无限的 generateToken 请求。
- BUG-000107814 -“创建标注”在 Portal for ArcGIS 10.5.1 for ArcGIS Server 10.5.1 Map Services 中不起作用。
- BUG-000107440 - 当证书中未列出实际的计算机名称时,Portal for ArcGIS 将不允许访问 portaladmin。
- BUG-000107004 - 在 Internet Explorer 中的 Web AppBuilder for ArcGIS for Portal for ArcGIS 10.5.1 中运行“提取数据任务”地理处理服务时,将返回错误消息。
- BUG-000106917 - 当启用“仅 HTTPS”时,由于所请求切片上存在证书不匹配错误,Portal for ArcGIS 10.5.1 Map Viewer 不会加载 Bing Roads Base Map。
- BUG-000106909 - 过滤地图服务不会过滤 Web 地图中的属性表。
- BUG-000106874 - 使用按图层搜索功能时,附件不会保留在 Web 地图的弹出窗口中。
- BUG-000106303 - Portal for ArcGIS 未完全遵循安全性配置中的“domainControllerAddress”设置。
- BUG-000105202 - 使用保存的凭据访问门户中的安全服务时,代理的生成令牌请求不支持 nonProxyHosts 参数。
- BUG-000105062 - 浏览至压缩的 shapefile 后,Portal for ArcGIS 和 Web App Builder Developer 版本中包含的“添加数据”微件将无法绘制结果。
- BUG-000104949 - WGS84 坐标系中的底图不会在“项目详细信息设置范围”对话框中绘制。
- BUG-000103846 - Portal for ArcGIS 具有硬编码凭据漏洞。
- ENH-000103213 - 添加选项以强制在 Portal for ArcGIS 和 Active Directory 之间执行加密通信。
- BUG-000121145 - 门户代理未完全验证 allowedProxyHosts 参数
CVSS 3.0 基本得分:4.0 - CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N - BUG-000120333 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)
CVSS 3.0 基本得分:8.8 - CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - BUG-000117564 - 权限升级漏洞
- BUG-000117369 - 项目 URL 中存在反映的跨站点脚本 (XSS)
- BUG-000117367 - Portal for ArcGIS 中的重定向未经验证。
- BUG-000114489 - Keyhole 标记语言 (KML) servlet 未完全支持代理设置。
- BUG-000114325 - 更新到 Chrome 67 后,Portal for ArcGIS 10.3.x 和 10.4.x 中的多个页面无法正确显示。
- BUG-000112749 - ArcGIS Online Map Viewer 中存在反映的跨站点脚本 (XSS)。
- BUG-000112707 - Portal for ArcGIS 主页应用程序中存在反映的跨站点脚本 (XSS)。
- BUG-000112360 - Portal for ArcGIS Web Application Builder 中存在跨站点脚本 (XSS) 漏洞。
- BUG-000112358 - 清理提供给图例资源的 URL 可以移除 SOAP URL 中的无效字符。
- BUG-000112357 - Portal for ArcGIS 的 /portal/sharing/login 和 portal/sharing/rest/login 端点中的重定向未经验证。
- BUG-000112161 - Portal for ArcGIS CityEngine Web Viewer 中存在反映的跨站点脚本 (XSS) 问题。
- BUG-000110291 - Portal for ArcGIS 不应解析实体标签。
- BUG-000110290 - 从 Portal for ArcGIS 内部数据库中移除无效的记录条目。
- BUG-000108753 - 已启用门户层身份验证和自动帐户创建的已配置 Portal for ArcGIS 将创建超过可用许可数量的帐户。
- BUG-000108155 - 对于配置了集成 Windows 身份验证 (IWA) 并与 ArcGIS Server 联合的门户,一旦令牌到期,则会在 Map Viewer 中触发无限的 generateToken 请求。
- BUG-000104718 - 如果将切片图层作为具有存储凭据的项目进行添加,则 Portal for ArcGIS Map Viewer 中不会显示来自 ArcGIS Online 的托管切片图层的切片。
- BUG-000104116 - 使用企业登录帐户向 Portal for ArcGIS 添加成员时,无法添加用户名少于六个字符的用户,即使 Portal for ArcGIS 中实际不存在此类限制时也是如此。
- BUG-000103731 - 在高可用性门户部署中,如果主节点失去与内容目录的连接,则主节点将恢复为“创建新站点”状态。
- BUG-000103700 - 如果未选中“允许匿名访问门户”,则门户登录页面将以英语而非默认语言显示。
- BUG-000102927 - 当图层在 Map Viewer 中显示缓慢时,表示图层无响应的消息在图层绘制完成后无法自动清除。
- BUG-000102793 - 较大的活动目录组结构将导致 Portal for ArcGIS 出现延迟问题。
- BUG-000101562 - 将 Java Web Adaptor 与 Apache Tomcat 7.0.73+ 或 8.0.39+ 搭配使用时,无法访问 Portal for ArcGIS 的“编辑设置”选项。
- BUG-000100424 - 使用“通过地图服务查看结果”参数发布地理处理服务时,Web AppBuilder for ArcGIS 地理处理微件将无法显示输出表。
- BUG-000100420 - 当取消选中图层组并选中子图层时,一旦为地图服务要素图层刷新或再次启动应用程序,“图层列表”微件中图层的复选框将不起作用。
- BUG-000099447 - 将浏览器更新到 Firefox 49 或 Chrome 54 后,无法在门户主页应用程序中上传文件。
- BUG-000098559 - Portal for ArcGIS 中的重定向未经验证。
- BUG-000098482 - Portal for ArcGIS 中存在跨站点脚本 (XSS) 问题。
- BUG-000098148 - 刷新企业用户和群组的成员资格无法支持通用群组中的嵌套组成员资格。
- BUG-000098118 - Portal for ArcGIS 显示内部信息。
- BUG-000098025 - 绕过 Portal for ArcGIS 中的 URL 重定向规则。
- BUG-000097777 - 使用 WebContextURL 属性定义反向代理时,支持 Portal for ArcGIS 的 SAML 登录帐户。
- BUG-000096571 - Portal for ArcGIS 中的 cookie 上不存在安全属性。
- BUG-000096570 - Portal for ArcGIS 中可能存在反映的跨站点脚本 (XSS)。
- BUG-000096161 - 在 Portal for ArcGIS Map Viewer 中使用空间分析工具执行分析时,返回错误“无法刷新项目”。 当 ArcGIS Web Adaptor(或任何反向代理)位于与托管 ArcGIS Server 不同的计算机上时,会发生此错误。
- BUG-000094537- 对于名称与其他域中群组的名称相同的企业级群组,即使其中的 Active Directory 用户不属于其他域中的组,也可以访问 Portal for ArcGIS 10.4。
- BUG-000094523 - 跨域用户无法在 Portal for ArcGIS 10.4 中查看其所属的企业级群组。
- BUG-000091316 - 某些门户上传操作无法正确验证文件类型。
- ENH-000103213 - 添加选项以强制在 Portal for ArcGIS 和 Active Directory 之间执行加密通信。
- ENH-000092759 - 支持最小长度为 3 个字符的企业用户名。
- NIM104313 - 在 Portal for ArcGIS 中注销企业用户不会将用户注销信息传递给相应的 SAML 身份提供者。
在 Windows 上安装此修补程序
安装步骤:
必须先在系统中安装表中列出的 ArcGIS 产品,然后才能安装修补程序。 每个修补程序安装程序都特定用于列表中对应的 ArcGIS 产品。 要确定系统上安装了哪些产品,请参阅如何确定已安装的 ArcGIS 产品部分。 Esri 建议您为系统上的每个产品安装修补程序。
- 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。
-
ArcGIS 10.7.1 校验和 (Md5) Portal for ArcGIS 重要的提示:此下载已被禁用。 Portal for ArcGIS 10.7.1 High Availability Licensing Patch 是此下载的替代程序,并且 Esri 建议所有运行 Portal for ArcGIS 10.7.1 的用户(包括已经安装此修补程序的客户)应尽早安装 Portal for ArcGIS 10.7.1 High Availability Licensing Patch。 Linux 设置不受影响。 ArcGIS 10.6.1 校验和 (Md5) Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U2-Patch.msp 4DF1BDBC57DFFD668F0FEBFCCB7E53CE ArcGIS 10.5.1 校验和 (Md5) Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U2-Patch.msp 1898615626019110507227D597FA28A4 ArcGIS 10.4.1 校验和 (Md5) Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U2-Patch.msp 0B2960C80F30BC9BC67A86274CF642EF - 请确保具有对 ArcGIS 安装位置的写入权限。
- 双击 ArcGIS-<版本>-PFA-SEC2019U2-Patch.msp 启动安装过程。
注:如果双击 MSP 文件后未启动安装程序安装进程,可使用下列命令手动启动安装程序安装进程:msiexec.exe /p [修补程序位置]\ArcGIS-<版本>-PFA-SEC2019U2-Patch.msp
在 Linux 上安装此修补程序
安装步骤:
以 ArcGIS 安装所有者身份完成以下安装步骤。 安装所有者为 arcgis 文件夹的所有者。
必须先在系统中安装表中列出的 ArcGIS 产品,然后才能安装修补程序。 每个修补程序安装程序都特定用于列表中对应的 ArcGIS 产品。 要确定系统上安装了哪些产品,请参阅如何确定已安装的 ArcGIS 产品部分。 Esri 建议您为系统上的每个产品安装修补程序。
- 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。
ArcGIS 10.7.1 校验和 (Md5) Portal for ArcGIS ArcGIS-1071-PFA-SEC2019U2-Patch-linux.tar E41EF16E60D1487FDAE27AEE1F487BF7 ArcGIS 10.6.1 校验和 (Md5) Portal for ArcGIS ArcGIS-1061-PFA-SEC2019U2-Patch-linux.tar AA6E3E03718E54F498555DEADF03CC34 ArcGIS 10.5.1 校验和 (Md5) Portal for ArcGIS ArcGIS-1051-PFA-SEC2019U2-Patch-linux.tar F290506B28C74ED692BAAED1FFD7AC4D ArcGIS 10.4.1 校验和 (Md5) Portal for ArcGIS ArcGIS-1041-PFA-SEC2019U2-Patch-linux.tar 0A5EE30EF61D068607F9A7F7F0C2AB51 - 请确保具有对 ArcGIS 安装位置的写入权限,并且当前没有用户正在使用 ArcGIS。
- 输入下列命令提取指定的 tar 文件:
% tar -xvf ArcGIS-<版本>-PFA-SEC2019U2-Patch-linux.tar
- 输入下列命令启动安装过程:
% ./applypatch
这将启动菜单驱动安装步骤的对话框。 默认选择在括号 ( ) 中注明。 您可随时输入“q”退出安装流程。
在 Windows 上卸载此修补程序
- 要在 Windows 上卸载此修补程序,请打开 Windows 控制面板,然后导航至已安装的程序。 确保“查看已安装的更新”(位于“程序和功能”对话框的左上角)处于活动状态。 从程序列表中选择修补程序名称,然后单击“卸载”以移除该修补程序。
在 Linux 上卸载此修补程序
./patchremove
注:仅限移除最近安装的修补程序。
修补程序更新
请定期访问修补程序和补丁包页面,以检查是否存在其他可用的修补程序。 将在此处发布有关此修补程序的最新信息。
2020 年 3 月 19 日:10.7.1 Windows 安装程序下载已被禁用,请参阅下载部分中的重要说明。
如何确定已安装的 ArcGIS 产品
要确定已安装的 ArcGIS 产品,请选择适用于您的环境的适当 PatchFinder 实用程序版本,然后在本地计算机上运行它。 PatchFinder 将列出已在本地计算机上安装的所有产品、热修复程序和修补程序。
获取帮助
如果在安装此修补程序时遇到任何问题,美国用户请拨打 Esri 技术支持热线 1-888-377-4575。 国际用户请联系您当地的 Esri 软件分销商。
Download ID:7749
Get help from ArcGIS experts
Download the Esri Support App