Patches and updates

ArcGIS Server Security 2021 Update 1 Patch

Published: March 12, 2021

摘要

此安全修补程序可解决 ArcGIS Server 中发现的多个安全漏洞。 Esri 建议所有使用 ArcGIS Server 10.8.1、10.7.1 和 10.6.1 的客户都应用此修补程序。

说明

Esri® 宣布推出 ArcGIS Server Security 2021 Update 1 Patch。 Esri 建议所有使用 ArcGIS Server 10.8.1、10.7.1 和 10.6.1 的客户都应用此修补程序。 此修补程序专门处理此修补程序解决的问题下方列出的问题。 注意:此安全修补程序为累积修补程序,其中包括一些早期修补程序中的安全及非安全相关修复程序,这些修复程序也在以下的此修补程序解决的问题下列出。


此修补程序解决的问题


  • ArcGIS Server Security 2021 Update 1 Patch
  • BUG-000137658 - ArcGIS Server Manager 中的 SSRF 漏洞
  • BUG-000137662 - ArcGIS Server 中存在反映的 XSS
  • BUG-000137663 - ArcGIS Server 中存在存储的 XSS 漏洞
  • BUG-000137668 - ArcGIS Server Services Directory 中存在存储的 XSS 漏洞
  • BUG-000131992 - ArcGIS Server 中存在反映的跨站点脚本 (XSS) 漏洞
  • BUG-000137659 - ArcGIS Server Manager(仅限10.6.1)中的跨站点脚本 (XSS)
为避免 10.8.1 上的冲突,此修补程序还解决了以下问题:
  • BUG-000135563 - 如果字段名称是用多字节字符串命名的,则使用 WHERE 子句作为对该字段的查询操作将失败。
  • BUG-000134113 - 仅在 Server Manager 中有目的地编辑“项目描述”字段时,才更新服务 iteminfo。
  • BUG-000133232 - 在 ArcGIS Server 中添加支持,以允许当具有自定义角色的 ArcGIS Enterprise 门户成员具有包含管理权限(例如“查看所有成员”和发布者特权)的角色时,其可以删除自己的服务。
  • BUG-000127160 - 当配置存储位于云存储中时,启用位置追踪时出错。
为避免 10.7.1 上的问题,此修补程序还解决了以下问题:
  • BUG-000132311 - 当站点的配置存储存储在 AWS 的 S3/DynamoDB 中时,无法在 Server Manager 中查看服务工作空间信息
  • BUG-000130002 - 'GetFolders'、'GetDescriptions' 和 'GetDescriptionsEx' 请求在 Amazon Web Services 上的 ArcGIS Server 10.7.1 部署中失败。
  • BUG-000128892 - 将 64 个或更多实例置于单一计算机上进行缓存可能失败,即使系统资源充足也是如此。
  • BUG-000128060- ArcGIS Server 具有服务器端请求伪造 (SSRF) 安全漏洞。
  • BUG-000127160 - 当配置存储位于云存储中时,启用位置追踪时出错。
  • BUG-000127113 - 在重新启动 ArcGIS Server Windows 服务之后无法使用 ArcGIS Server 10.7 使用 Asp.net 连接到身份验证存储或更高版本。
  • BUG-000125331 - 具有 registerExistingData 的 CreateReplica 需要考虑托管 FS 的具有不同计算机名称的服务 URL
  • BUG-000125214 - 优化服务删除以免包含大量服务的部署上出现超时。
  • BUG-000125044 - 托管要素服务具有存储的跨站点脚本 (XSS) 漏洞。
  • BUG-000124991 - ArcGIS Server 无法完全导入根证书或中间证书。
  • BUG-000124867 - 尝试在 Collector for ArcGIS 中下载托管地图区域时,由于 ArcGIS Server 和 ArcGIS Web Adaptor 副本访问之间发生错误,下载失败。
  • BUG-000124827 - 在多机 ArcGIS Server 站点上,该站点具有一个或多个通过 ArcMap 或 SOAP 客户端使用的缓存地图服务,发布服务或停止/启动服务会使机器上的所有服务重新启动。
  • BUG-000124576 - 在启用了 Java SOAP 服务器对象扩展 (SOE) 的情况下启动地图服务失败,并显示错误“javax/xml/bind/JAXBException”。
  • BUG-000124287 - 发布失败是因为企业级数据库注册失败,即使似乎在 UI 上可以起作用。 在具有多个网卡的计算机配置中可能会发生这种情况。
  • BUG-000123103 - ArcGIS Server 无法正确处理错误的 CORS 源。
  • BUG-000122285 - 3D 场景服务的可伸缩性由于对配置存储和目录的频繁读取/写入而受到阻碍。
  • BUG-000120535 - 在 Portal for ArcGIS 的 Operations Dashboard for ArcGIS 序列图表中,按“数据选项”配置中的统计数据对数据进行排序将返回警告消息“无法访问数据”。
为避免 10.6.1 上的问题,此修补程序还解决了以下问题:
  • BUG-000137702 - 可解决在使用 PMF 文件时 ArcGIS 中的崩溃问题
  • BUG-000134965 - ArcGIS Server 中存在一个 SQL 注入漏洞。
  • BUG-000132034 - 在 Portal for ArcGIS 中,当附件文件的名称为日语时,附件将无法打开,但可以进行下载。
  • BUG-000131010 - 从 10.6.0 到 10.6.1,ArcGIS Desktop 和 ArcGIS Server REST 端点中的“查找”命令所花费的时间呈几何级数增长。
  • BUG-000130724 - 当使用 10 版以前的语法调用时,Spatial Analyst 组件 RasterConditionalOp 的 Con 方法意外失败,并出现错误。
  • BUG-000128883 - 将大型空间表或视图注册到企业级地理数据库时,“注册到地理数据库”地理处理工具将在 ArcGIS Pro 中缓慢加载和运行。
  • BUG-000128381 - 单向复本同步失败,并显示以下错误:“同步复本失败 [<schema>.<featureclass>] 表未注册 [PEA.GDB_TEMP_USER_IDS]”。
  • BUG-000128060- ArcGIS Server 具有服务器端请求伪造 (SSRF) 安全漏洞。
  • BUG-000126701 - 如果在托管服务之后按字母顺序列出了它们的关联视图,则托管服务将无法还原。
  • BUG-000126173 - 当 Hadoop 的 hadoop.rpc.protection 属性设置为“隐私”或“完整性”时,GeoAnalytics Server 不支持使用 Kerberos 身份验证的 Hadoop 连接。
  • BUG-000125044 - 托管要素服务具有存储的跨站点脚本 (XSS) 漏洞。
  • BUG-000124827 - 在多机 ArcGIS Server 站点上,该站点具有一个或多个通过 ArcMap 或 SOAP 客户端使用的缓存地图服务,发布服务或停止/启动服务会使机器上的所有服务重新启动。
  • BUG-000124386 - 更正 importSite 期间的操作顺序。
  • BUG-000124326 - 在 Oracle 19c 上重命名 SDO_Geometry 要素类失败。
  • BUG-000124325 - 在 Oracle 19c 上创建空间类型失败。
  • BUG-000124079 - 第二次在图像收集上运行区域网平差时可能会因缺少默认高程值而失败。
  • BUG-000123103 - ArcGIS Server 无法正确处理错误的 CORS 源。
  • BUG-000122408 - 当还原 webgisdr 备份时,将不会维护 web 服务器的服务器自定义证书。
  • BUG-000122285 - ArcGIS Enterprise 3D 场景服务的吞吐量差,且无法在多个 GIS 节点之间很好地扩展。
  • BUG-000121595 - 偶尔/间歇性站点创建以及使用服务器进行创建服务/删除服务的问题。
  • BUG-000120805 - ArcGIS Server 出现访问控制问题。
  • BUG-000120195 - 无法还原包含关联视图的托管服务。
  • BUG-000119801 - 将一个以上镶嵌数据集作为输入栅格输入时,采样失败。
  • BUG-000119759 - 提高“采样”工具的质量和性能。
  • BUG-000119534 - 指定源特征时,路径分配将生成错误结果。
  • BUG-000119493 -“汇”工具会为以对角方式连接的汇点区域创建两个唯一值。 这一操作是错误的,因为以对角方式连接的汇点应使用一个唯一值来标识。
  • BUG-000119425 - 尝试直接读取云栅格存储上被组合的输入影像服务时,ArcGIS Image Server 中的 SummarizeRasterWithin 和 ConvertRasterToFeature 任务崩溃。
  • BUG-000119424 - 当使用除值之外的字段时,以表格显示“分区几何统计”和“分区几何”工具将生成错误结果。 在这种情况下,计算分区几何属性的逻辑错误,软件可能会崩溃。
  • BUG-000119423 - 当处理范围设置为单个像元集水区时,“集水区”工具将挂起。
  • BUG-000119422 - 模型构建器中的“流动距离”工具不显示“FlowDistanceType”参数。
  • BUG-000119421 - 当输入表面栅格未进行水文调节时,“流动距离”工具为大多数单元格生成 NoData。
  • BUG-000119419 - 使用高分辨率数据的欧氏方向产生错误输出。
  • BUG-000119323 - 启用“创建多部分要素”的 RasterToPolygon 将锁定输出以进行编辑。
  • BUG-000119030 - 在 ArcGIS Desktop 10.6.1 中,查询或选择压缩文件地理数据库超过八次时的速度比在 ArcGIS Desktop 10.5.1 中慢。
  • BUG-000118421 - 如果连接字符串中存在非英语字符,则在企业级地理数据库中导入栅格时,“复制栅格”工具将返回此错误:“错误 999999:执行函数时出错。 未配置栅格存储。 未在服务器进程内运行。 执行 (CopyRaster) 失败。”
  • BUG-000118138 - 在 ArcGIS 10.6.1/ArcGIS Pro 2.2 或更高版本的客户端中进行预览后,Oracle 地理数据库中精度为 10 比例为 0 的 ArcGIS 双精度字段会自动更改为长整型。 如果字段包含的数值大于长整数的最大值 (2,147,483,647),则将返回以下错误:“[ORA-01455:转换列会溢出整型数据类型]”。
  • BUG-000117983 - ArcGIS Server 切片处理程序中的访问控制问题。
  • BUG-000117954 - 场景服务在使用 Scene Viewer 中的场景缓存时应忽略证书错误。
  • BUG-000117633 - 在 10.6.1 及之前的版本中,可能无法在所有环境中正确地初始化消息总线平台服务。
  • BUG-000117372 - 服务器管理 API 中存在跨站点脚本 (XSS) 问题。
  • BUG-000116972 - Collector for ArcGIS (iOS) 无法向在 ArcGIS Enterprise 10.6.1 中的托管要素图层提交照片附件。
  • BUG-000116589 - 具有回溯链接栅格的流向输入的成本路径和成本路径折线很慢。
  • BUG-000116047 - 当流向栅格用作距离和回溯链接栅格的输入时,成本路径将生成错误输出。
  • BUG-000115799 - 在 Map Viewer 中查看托管在 ArcGIS Enterprise 10.6.1 中的矢量切片图层时,图层无法成功分散。
  • BUG-000115304 - 在多个 ArcGIS Server 计算机站点中,ImportSite 操作将修改与运行 Importsite 的计算机以外的计算机上与 HTTPS 有关的服务器计算机属性选项。
  • BUG-000115147 - 在面上调用 ITopologicalOperator::Buffer 时,如果面退化为某个点,则缓冲区调用将崩溃。
  • BUG-000113368 - 欧氏分配、距离和方向工具在当前版本 ArcMap 中的运行速度要比在以前版本中慢得多。
  • BUG-000113339 - ArcGIS Server 10.6(或 10.7.1)导出站点操作将在 Microsoft Windows 和 Linux(或 Azure)上的 Amazon Web Services (AWS) 中返回错误消息“导出操作失败。null”。
  • BUG-000111075 - 在通信失败,继而数据库连接恢复后,GeoEvent 服务中使用的要素服务无法重新建立与数据库的通信。
  • BUG-000111075 - 要素服务器不会在数据库连接失败后进行服务回收。
  • BUG-000098315 - 当输入栅格为镶嵌时,采样返回空数据。
  • BUG-000096996 - ExtractMultiValuestoPoints,当输入点要素为 XY 事件图层时,ExtractValuestoPoints 返回错误。
  • BUG-000089296 - 将在 Mozilla Firefox 和 Google Chrome web 浏览器中下载 ArcGIS GIS Server 中的要素服务附件,而非在新的浏览器选项卡或窗口中将其打开。

在 Windows 上安装此修补程序


安装步骤:


该修补程序应安装在与 ArcGIS Server 站点相关的所有 ArcGIS Server 安装程序中。

必须先在系统中安装表中列出的 ArcGIS 产品,然后才能安装修补程序。 每个修补程序安装程序都特定用于列表中对应的 ArcGIS 产品。 要确定系统上安装了哪些产品,请参阅如何确定已安装的 ArcGIS 产品部分。 Esri 建议您为系统上的每个产品安装修补程序。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。

  2. ArcGIS 10.8.1  
       
         ArcGIS Server ArcGIS-1081-S-SEC2021U1-Patch.msp
         校验和
         (SHA256)
    28C7FD917825B7412BF6B0B5FEE2A31CC2F7917DEFD8195FDFCC3C31C324C338
       
    ArcGIS 10.7.1  
       
         ArcGIS Server ArcGIS-1071-S-SEC2021U1-Patch.msp
         校验和
         (SHA256)
    E73E3D3B2A4DE87D8EB127A552EEEDD61C6F7500E748837B271653B97ECF459C
       
    ArcGIS 10.6.1  
       
         ArcGIS Server ArcGIS-1061-S-SEC2021U1-Patch.msp
         校验和
         (SHA256)
    B4A6E8476D9B26ADD7709369EE96B7112D08D261EBF153F017C01CBC1E57C908
       

  3. 请确保具有对 ArcGIS 安装位置的写入权限。

  4. 双击 ArcGIS-1081-S-SEC2021U1-Patch.msp 以启动安装进程。

    注:如果双击 MSP 文件后未启动安装程序安装进程,可使用下列命令手动启动安装程序安装进程:

    msiexec.exe /p [修补程序位置]\ArcGIS-1081-S-SEC2021U1-Patch.msp


在 Linux 上安装此修补程序


安装步骤:


以 ArcGIS 安装所有者身份完成以下安装步骤。 安装所有者为 arcgis 文件夹的所有者。 该修补程序应安装在与 ArcGIS Server 站点相关的所有 ArcGIS Server 安装程序中。

必须先在系统中安装表中列出的 ArcGIS 产品,然后才能安装修补程序。 每个修补程序安装程序都特定用于列表中对应的 ArcGIS 产品。 要确定系统上安装了哪些产品,请参阅如何确定已安装的 ArcGIS 产品部分。 Esri 建议您为系统上的每个产品安装修补程序。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。


    ArcGIS 10.8.1  
       
         ArcGIS Server ArcGIS-1081-S-SEC2021U1-Patch-linux.tar
         校验和
         (SHA256)
    11CD57E10608E9C3F52389109326292D439E1782D017657BA294324CEB8C660F
       
    ArcGIS 10.7.1  
       
         ArcGIS Server ArcGIS-1071-S-SEC2021U1-Patch-linux.tar
         校验和
         (SHA256)
    304DB4DFE09F7382AA5EAECF56E55779EFD6135BBFDAD3AF7212F7F318D070C0
       
    ArcGIS 10.6.1  
       
         ArcGIS Server ArcGIS-1061-S-SEC2021U1-Patch-linux.tar
         校验和
         (SHA256)
    37415F055AF789C47323847309020BC22CCA1BA5DBA5B9830CE6A9E6B43F1DDC
       

  2. 请确保具有对 ArcGIS 安装位置的写入权限,并且当前没有用户正在使用 ArcGIS。

  3. 输入下列命令提取指定的 tar 文件:

    % tar -xvf ArcGIS-1081-S-SEC2021U1-Patch-linux.tar

  4. 输入下列命令启动安装过程:

    % ./applypatch

    这将启动菜单驱动安装步骤的对话框。 默认选择在括号 ( ) 中注明。 您可随时输入“q”退出安装流程。

在 Windows 上卸载此修补程序


要在 Windows 上卸载此修补程序,请打开 Windows 控制面板,然后导航至已安装的程序。 确保“查看已安装的更新”(位于“程序和功能”对话框的左上角)处于活动状态。 从程序列表中选择修补程序名称,然后单击“卸载”以移除该修补程序。

在 Linux 上卸载此修补程序


要在版本 10.7 或更高版本中移除此修补程序,请导航到 <产品安装目录>/.Setup/qfe 目录,然后以 ArcGIS 安装所有者身份运行以下脚本:



./removepatch.sh

通过 removepatch.sh 脚本可卸载以前安装的修补程序或热修复程序。 使用 -s 状态标记以按日期排序获取已安装修补程序或热修复程序列表。 使用 -q 标记以按安装日期的反向时间顺序移除修补程序或热修复程序。 输入 removepatch -h 以获取使用帮助。

重新启动 ArcGIS 服务。



修补程序更新

请定期访问修补程序和补丁包页面,以检查是否存在其他可用的修补程序。 将在此处发布有关此修补程序的最新信息。

如何确定已安装的 ArcGIS 产品

要确定已安装的 ArcGIS 产品,请选择适用于您的环境的适当 PatchFinder 实用程序版本,然后在本地计算机上运行它。 PatchFinder 将列出已在本地计算机上安装的所有产品、热修复程序和修补程序。

获取帮助

如果在安装此修补程序时遇到任何问题,美国用户请拨打 Esri 技术支持热线 1-888-377-4575。 国际用户请联系您当地的 Esri 软件分销商



Download ID:7879

Get help from ArcGIS experts

Contact technical support

Download the Esri Support App

Go to download options