Patches and updates

ArcGIS Server Security 2021 Update 2 Patch

Published: August 30, 2021

摘要

此安全修补程序可解决 ArcGIS Server 中发现的多个安全漏洞。 Esri 建议所有使用 ArcGIS Server 10.9、10.8.1、10.7.1 和 10.6.1 的客户都应用此修补程序。

说明

Esri® 宣布推出 ArcGIS Server Security 2021 Update 2 Patch。 Esri 建议所有使用 ArcGIS Server 10.9、10.8.1、10.7.1 和 10.6.1 的客户都应用此修补程序。 此修补程序专门处理此修补程序解决的问题下方列出的问题。


此修补程序解决的问题


  • ArcGIS Server Security 2021 Update 2 Patch
  • BUG-000113339 - ArcGIS Server 版本 10.6 或 10.7.1 导出站点操作将在 Microsoft Windows 和 Linux(或 Azure)上的 Amazon Web Services (AWS) 中返回错误消息“导出操作失败。null”。 (仅限 10.7.1)
  • BUG-000139857 - ArcGIS Server 帮助文档中的远程文件包含漏洞
  • BUG-000142180 - ArcGIS Server 中存在存储型 XSS 漏洞(仅限 10.8.1 和 10.9)
  • BUG-000142120 - ArcGIS Server 中存在 SQL 注入漏洞。
  • BUG-000142204 - 在托管要素服务视图中设置不可见的字段需要隐藏模板中的字段引用。
为避免 10.9 上的冲突,此修补程序还解决了以下问题:
  • BUG-000141023 - 在企业托管要素服务图层查询中使用时,移除了对间隔参数的设置。
  • BUG-000141022 - Enterprise 中的托管要素服务需要在请求时返回未压缩的响应。

为避免 10.8.1 上的冲突,此修补程序还解决了以下问题:
  • BUG-000138234 - 尝试创建服务时 WebGIS DR 备份失败。
  • BUG-000137668 - ArcGIS Server Services Directory 中存在存储的 XSS 漏洞
  • BUG-000137663 - ArcGIS Server 中存在存储的 XSS 漏洞
  • BUG-000137662 - ArcGIS Server 中存在反映的 XSS
  • BUG-000137658 - ArcGIS Server Manager 中的 SSRF 漏洞。
  • BUG-000135919 - 当使用 DR 工具时 ArcGIS Server 站点导入失败时,站点不会恢复到运行状态。
  • BUG-000135918 - 使用 DR 工具导入 ArcGIS Server 站点偶尔可能会失败。
  • BUG-000135563 - 如果字段名称是用多字节字符串命名的,则使用 WHERE 子句作为对该字段的查询操作将失败。
  • BUG-000134113 - 仅在 Server Manager 中有目的地编辑“项目描述”字段时,才更新服务 iteminfo。
  • BUG-000133232 - 在 ArcGIS Server 中添加支持,以允许当具有自定义角色的 ArcGIS Enterprise 门户成员具有包含管理权限(例如“查看所有成员”和发布者特权)的角色时,其可以删除自己的服务。
  • BUG-000132999 - 在多机 ArcGIS Server 站点中,还原过程可能无法成功取消注册并重新注册其他结点。
  • BUG-000131992 - ArcGIS Server 中存在反映的跨站点脚本 (XSS) 漏洞。
  • BUG-000127160 - 当配置存储位于云存储中时,启用位置追踪时出错。

为避免 10.7.1 上的冲突,此修补程序还解决了以下问题:
  • BUG-000137668 - ArcGIS Server Services Directory 中存在存储的 XSS 漏洞
  • BUG-000137663 - ArcGIS Server 中存在存储的 XSS 漏洞
  • BUG-000137662 - ArcGIS Server 中存在反映的 XSS
  • BUG-000137658 - ArcGIS Server Manager 中的 SSRF 漏洞。
  • BUG-000132311 - 当站点的配置存储存储在 AWS 的 S3/DynamoDB 中时,无法在 Server Manager 中查看服务工作空间信息
  • BUG-000131992 - ArcGIS Server 中存在反映的跨站点脚本 (XSS) 漏洞。
  • BUG-000130002 - 'GetFolders'、'GetDescriptions' 和 'GetDescriptionsEx' 请求在 Amazon Web Services 上的 ArcGIS Server 10.7.1 部署中失败。
  • BUG-000128892 - 将 64 个或更多实例置于单一计算机上进行缓存可能失败,即使系统资源充足也是如此。
  • BUG-000128060- ArcGIS Server 具有服务器端请求伪造 (SSRF) 安全漏洞。
  • BUG-000127160 - 当配置存储位于云存储中时,启用位置追踪时出错。
  • BUG-000127113 - 在重新启动 ArcGIS Server Windows 服务之后无法使用 ArcGIS Server 10.7 使用 Asp.net 连接到身份验证存储或更高版本。
  • BUG-000125331 - 具有 registerExistingData 的 CreateReplica 需要考虑托管 FS 的具有不同计算机名称的服务 URL
  • BUG-000125214 - 优化服务删除以免包含大量服务的部署上出现超时。
  • BUG-000125044 - 托管要素服务具有存储的跨站点脚本 (XSS) 漏洞。
  • BUG-000124991 - ArcGIS Server 无法完全导入根证书或中间证书。
  • BUG-000124867 - 尝试在 Collector for ArcGIS 中下载托管地图区域时,由于 ArcGIS Server 和 ArcGIS Web Adaptor 副本访问之间发生错误,下载失败。
  • BUG-000124827 - 在多机 ArcGIS Server 站点上,该站点具有一个或多个通过 ArcMap 或 SOAP 客户端使用的缓存地图服务,发布服务或停止/启动服务会使机器上的所有服务重新启动。
  • BUG-000124576 - 在启用了 Java SOAP 服务器对象扩展 (SOE) 的情况下启动地图服务失败,并显示错误“javax/xml/bind/JAXBException”。
  • BUG-000124287 - 发布失败是因为企业级数据库注册失败,即使似乎在 UI 上可以起作用。 在具有多个网卡的计算机配置中可能会发生这种情况。
  • BUG-000123103 - ArcGIS Server 无法正确处理错误的 CORS 源。
  • BUG-000122285 - 3D 场景服务的可伸缩性由于对配置存储和目录的频繁读取/写入而受到阻碍。
  • BUG-000120535 - 在 Portal for ArcGIS 的 Operations Dashboard for ArcGIS 序列图表中,按“数据选项”配置中的统计数据对数据进行排序将返回警告消息“无法访问数据”。

为避免 10.6.1 上的冲突,此修补程序还解决了以下问题:
  • BUG-000137702 - 可解决在使用 PMF 文件时 ArcGIS 中的崩溃问题
  • BUG-000137668 - ArcGIS Server Services Directory 中存在存储的 XSS 漏洞。
  • BUG-000137663 - ArcGIS Server 中存在存储的 XSS 漏洞。
  • BUG-000137662 - ArcGIS Server 中存在反映的 XSS。
  • BUG-000137659 - ArcGIS Server Manager 中的跨站点脚本 (XSS)。
  • BUG-000137658 - ArcGIS Server Manager 中的 SSRF 漏洞。
  • BUG-000134965 - ArcGIS Server 中存在一个 SQL 注入漏洞。
  • BUG-000132034 - 在 Portal for ArcGIS 中,当附件文件的名称为日语时,附件将无法打开,但可以进行下载。
  • BUG-000131992 - ArcGIS Server 中存在反映的跨站点脚本 (XSS) 漏洞。
  • BUG-000131010 - 从 10.6.0 到 10.6.1,ArcGIS Desktop 和 ArcGIS Server REST 端点中的“查找”命令所花费的时间呈几何级数增长。
  • BUG-000130724 - 当使用 10 版以前的语法调用时,Spatial Analyst 组件 RasterConditionalOp 的 Con 方法意外失败,并出现错误。
  • BUG-000128883 - 将大型空间表或视图注册到企业级地理数据库时,“注册到地理数据库”地理处理工具将在 ArcGIS Pro 中缓慢加载和运行。
  • BUG-000128381 - 单向复本同步失败,并显示以下错误:“同步复本失败 [.] 表未注册 [PEA.GDB_TEMP_USER_IDS]”。
  • BUG-000128060- ArcGIS Server 具有服务器端请求伪造 (SSRF) 安全漏洞。
  • BUG-000126701 - 如果在托管服务之后按字母顺序列出了它们的关联视图,则托管服务将无法还原。
  • BUG-000126173 - 当 Hadoop 的 hadoop.rpc.protection 属性设置为“隐私”或“完整性”时,GeoAnalytics Server 不支持使用 Kerberos 身份验证的 Hadoop 连接。
  • BUG-000125044 - 托管要素服务具有存储的跨站点脚本 (XSS) 漏洞。
  • BUG-000124827 - 在多机 ArcGIS Server 站点上,该站点具有一个或多个通过 ArcMap 或 SOAP 客户端使用的缓存地图服务,发布服务或停止/启动服务会使机器上的所有服务重新启动。
  • BUG-000124386 - 更正 importSite 期间的操作顺序。
  • BUG-000124326 - 在 Oracle 19c 上重命名 SDO_Geometry 要素类失败。
  • BUG-000124325 - 在 Oracle 19c 上创建空间类型失败。
  • BUG-000124079 - 第二次在图像收集上运行区域网平差时可能会因缺少默认高程值而失败。
  • BUG-000123103 - ArcGIS Server 无法正确处理错误的 CORS 源。
  • BUG-000122408 - 当还原 webgisdr 备份时,将不会维护 web 服务器的服务器自定义证书。
  • BUG-000122285 - ArcGIS Enterprise 3D 场景服务的吞吐量差,且无法在多个 GIS 节点之间很好地扩展。
  • BUG-000121595 - 偶尔/间歇性站点创建以及使用服务器进行创建服务/删除服务的问题。
  • BUG-000120805 - ArcGIS Server 出现访问控制问题。
  • BUG-000120195 - 无法还原包含关联视图的托管服务。
  • BUG-000119801 - 将一个以上镶嵌数据集作为输入栅格输入时,采样失败。
  • BUG-000119759 - 提高“采样”工具的质量和性能。
  • BUG-000119534 - 指定源特征时,路径分配将生成错误结果。
  • BUG-000119493 -“汇”工具会为以对角方式连接的汇点区域创建两个唯一值。 这一操作是错误的,因为以对角方式连接的汇点应使用一个唯一值来标识。
  • BUG-000119425 - 尝试直接读取云栅格存储上被组合的输入影像服务时,ArcGIS Image Server 中的 SummarizeRasterWithin 和 ConvertRasterToFeature 任务崩溃。
  • BUG-000119424 - 当使用除值之外的字段时,以表格显示“分区几何统计”和“分区几何”工具将生成错误结果。 在这种情况下,计算分区几何属性的逻辑错误,软件可能会崩溃。
  • BUG-000119423 - 当处理范围设置为单个像元集水区时,“集水区”工具将挂起。
  • BUG-000119422 - 模型构建器中的“流动距离”工具不显示“FlowDistanceType”参数。
  • BUG-000119421 - 当输入表面栅格未进行水文调节时,“流动距离”工具为大多数单元格生成 NoData。
  • BUG-000119419 - 使用高分辨率数据的欧氏方向产生错误输出。
  • BUG-000119323 - 启用“创建多部分要素”的 RasterToPolygon 将锁定输出以进行编辑。
  • BUG-000119030 - 在 ArcGIS Desktop 10.6.1 中,查询或选择压缩文件地理数据库超过八次时的速度比在 ArcGIS Desktop 10.5.1 中慢。
  • BUG-000118421 - 如果连接字符串中存在非英语字符,则在企业级地理数据库中导入栅格时,“复制栅格”工具将返回此错误:“错误 999999:执行函数时出错。 未配置栅格存储。 未在服务器进程内运行。 执行 (CopyRaster) 失败。”
  • BUG-000118138 - 在 ArcGIS 10.6.1/ArcGIS Pro 2.2 或更高版本的客户端中进行预览后,Oracle 地理数据库中精度为 10 比例为 0 的 ArcGIS 双精度字段会自动更改为长整型。 如果字段包含的数值大于长整数的最大值 (2,147,483,647),则将返回以下错误:“[ORA-01455:转换列会溢出整型数据类型]”。
  • BUG-000117983 - ArcGIS Server 切片处理程序中的访问控制问题。
  • BUG-000117954 - 场景服务在使用 Scene Viewer 中的场景缓存时应忽略证书错误。
  • BUG-000117633 - 在 10.6.1 及之前的版本中,可能无法在所有环境中正确地初始化消息总线平台服务。
  • BUG-000117372 - 服务器管理 API 中存在跨站点脚本 (XSS) 问题。
  • BUG-000116972 - Collector for ArcGIS (iOS) 无法向在 ArcGIS Enterprise 10.6.1 中的托管要素图层提交照片附件。
  • BUG-000116589 - 具有回溯链接栅格的流向输入的成本路径和成本路径折线很慢。
  • BUG-000116047 - 当流向栅格用作距离和回溯链接栅格的输入时,成本路径将生成错误输出。
  • BUG-000115799 - 在 Map Viewer 中查看托管在 ArcGIS Enterprise 10.6.1 中的矢量切片图层时,图层无法成功分散。
  • BUG-000115304 - 在多个 ArcGIS Server 计算机站点中,ImportSite 操作将修改与运行 Importsite 的计算机以外的计算机上与 HTTPS 有关的服务器计算机属性选项。
  • BUG-000115147 - 在面上调用 ITopologicalOperator::Buffer 时,如果面退化为某个点,则缓冲区调用将崩溃。
  • BUG-000113368 - 欧氏分配、距离和方向工具在当前版本 ArcMap 中的运行速度要比在以前版本中慢得多。
  • BUG-000113339 - ArcGIS Server 10.6(或 10.7.1)导出站点操作将在 Microsoft Windows 和 Linux(或 Azure)上的 Amazon Web Services (AWS) 中返回错误消息“导出操作失败。null”。
  • BUG-000111075 - 在通信失败,继而数据库连接恢复后,GeoEvent 服务中使用的要素服务无法重新建立与数据库的通信。
  • BUG-000111075 - 要素服务器不会在数据库连接失败后进行服务回收。
  • BUG-000098315 - 当输入栅格为镶嵌时,采样返回空数据。
  • BUG-000096996 - ExtractMultiValuestoPoints,当输入点要素为 XY 事件图层时,ExtractValuestoPoints 返回错误。
  • BUG-000089296 - 将在 Mozilla Firefox 和 Google Chrome web 浏览器中下载 ArcGIS GIS Server 中的要素服务附件,而非在新的浏览器选项卡或窗口中将其打开。

在 Windows 上安装此修补程序


安装步骤:


必须先在系统中安装表中列出的 ArcGIS 产品,然后才能安装修补程序。 每个修补程序安装程序都特定用于列表中对应的 ArcGIS 产品。 要确定系统上安装了哪些产品,请参阅如何确定已安装的 ArcGIS 产品部分。 Esri 建议您为系统上的每个产品安装修补程序。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。

  2. ArcGIS 10.9  
       
    ArcGIS Server ArcGIS-109-S-SEC2021U2-Patch.msp
         校验和
         (SHA256)
    CE35131B1DD2643A4C1843036572072BE1FA03230C0500B8DF3B42DDCB675AEB
       
    ArcGIS 10.8.1  
       
    ArcGIS Server ArcGIS-1081-S-SEC2021U2-Patch.msp
         校验和
         (SHA256)
    AED467ADAAA40A615FDB746821589A35BF130B6DF49EC19A8CEF426616188E66
       
    ArcGIS 10.7.1  
       
    ArcGIS Server ArcGIS-1071-S-SEC2021U2-Patch.msp
         校验和
         (SHA256)
    2A96095DE1525F4C16774A42982C2E2E00DD4AB7C22F58103DAC1849377852BE
       
    ArcGIS 10.6.1  
       
    ArcGIS Server ArcGIS-1061-S-SEC2021U2-Patch.msp
         校验和
         (SHA256)
    6A175785A18BC4516FCC4A2D41B8CE6BCCA8F1684B04D1AA4202C510A7F17DB7
       

  3. 请确保具有对 ArcGIS 安装位置的写入权限。

  4. 双击 ArcGIS-<版本>-S-SEC2021U2-Patch.msp 启动安装过程。

    注:如果双击 MSP 文件后未启动安装程序安装进程,可使用下列命令手动启动安装程序安装进程:


    msiexec.exe /p [location of Patch]\ArcGIS-<Version>-S-SEC2021U2-Patch.msp


在 Linux 上安装此修补程序


安装步骤:


以 ArcGIS 安装所有者身份完成以下安装步骤。 安装所有者为 arcgis 文件夹的所有者。

必须先在系统中安装表中列出的 ArcGIS 产品,然后才能安装修补程序。 每个修补程序安装程序都特定用于列表中对应的 ArcGIS 产品。 要确定系统上安装了哪些产品,请参阅如何确定已安装的 ArcGIS 产品部分。 Esri 建议您为系统上的每个产品安装修补程序。

  1. 将相应的文件下载到 ArcGIS 安装位置以外的其他位置。


    ArcGIS 10.9  
       
    ArcGIS Server ArcGIS-109-S-SEC2021U2-Patch-linux.tar
         校验和
         (SHA256)
    B5D3E67A207B9D7D232D301DD79A27957B33A85A135CC06754EF6422B6CB5690
       
    ArcGIS 10.8.1  
       
    ArcGIS Server ArcGIS-1081-S-SEC2021U2-Patch-linux.tar
         校验和
         (SHA256)
    435AED1AF08155F5B083672B2229750F9868B438F4DE9B7E55EA7A756C7A0A8D
       
    ArcGIS 10.7.1  
       
    ArcGIS Server ArcGIS-1071-S-SEC2021U2-Patch-linux.tar
         校验和
         (SHA256)
    5D79D3B6132D6DA12EC90A14F4B3C9B7EB477BE0366ABB1E6ABCE1EDB5FECA25
       
    ArcGIS 10.6.1  
       
    ArcGIS Server ArcGIS-1061-S-SEC2021U2-Patch-linux.tar
         校验和
         (SHA256)
    EE372C32637AB4ECA07468CBFCCB39C092E1B93E89E28BD6EDB1C6296689160B
       
  2. 请确保具有对 ArcGIS 安装位置的写入权限,并且当前没有用户正在使用 ArcGIS。

  3. 输入下列命令提取指定的 tar 文件:


    % tar -xvf ArcGIS-<版本>-S-SEC2021U2-Patch-linux.tar

  4. 输入下列命令启动安装过程:


    % ./applypatch

    这将启动菜单驱动安装步骤的对话框。 默认选择在括号 ( ) 中注明。 您可随时输入“q”退出安装流程。


升级地理数据库

在应用了适用于 ArcGIS 的热修复补丁或修补程序后,可能还需要升级地理数据库。 有关详细信息,请参阅单个 DBMS 平台的地理数据库管理页面上的升级地理数据库部分。


在 Windows 上卸载此修补程序


  • 要在 Windows 上卸载此修补程序,请打开 Windows 控制面板,然后导航至已安装的程序。 确保“查看已安装的更新”(位于“程序和功能”对话框的左上角)处于活动状态。 从程序列表中选择修补程序名称,然后单击“卸载”以移除该修补程序。

在 Linux 上卸载此修补程序


  • 要在版本 10.7 或更高版本中移除此修补程序,请导航到 <产品安装目录>/.Setup/qfe 目录,然后以 ArcGIS 安装所有者身份运行以下脚本:


    ./removepatch.sh

    通过 removepatch.sh 脚本可卸载以前安装的修补程序或热修复程序。 使用 -s 状态标记以按日期排序获取已安装修补程序或热修复程序列表。 使用 -q 标记以按安装日期的反向时间顺序移除修补程序或热修复程序。 输入 removepatch -h 以获取使用帮助。

  • 重新启动 ArcGIS 服务

修补程序更新

请定期访问修补程序和补丁包页面,以检查是否存在其他可用的修补程序。 将在此处发布有关此修补程序的最新信息。

2021 年 11 月 24 日 已使用新的数字签名对此修补程序的 Windows 安装程序进行了更新。 此项更改解决了可能的安装错误:

根据当前系统时钟或签名文件中的时间戳进行验证时,所需证书不在其有效期内。

如何确定已安装的 ArcGIS 产品

要确定已安装的 ArcGIS 产品,请选择适用于您的环境的适当 PatchFinder 实用程序版本,然后在本地计算机上运行它。 PatchFinder 将列出已在本地计算机上安装的所有产品、热修复程序和修补程序。

获取帮助

如果在安装此修补程序时遇到任何问题,美国用户请拨打 Esri 技术支持热线 1-888-377-4575。 国际用户请联系您当地的 Esri 软件分销商



Download ID:7937

Get help from ArcGIS experts

Contact technical support

Download the Esri Support App

Go to download options