中文

问题:ArcGIS Server 中的安全漏洞警告

说明

Esri 在 ArcGIS Enterprise 的 ArcGIS Server 组件中发现了一个严重漏洞,该漏洞导致服务器端请求伪造 (SSRF) 问题。 对于在 Amazon Web Services (AWS) 基础架构上运行的部署,存在一个特定的已知利用矢量,但是此漏洞可以应用于任何环境,具体取决于配置。 客户面临未经授权的个人访问内部信息的风险。 根据其基础架构配置,他们还可能面临未经授权的个人获得对基础架构的管理控制或深入了解的风险。

Windows 和 Linux 上的 ArcGIS Server 10.8 之前的所有版本均受到此安全问题影响。 Esri 针对 ArcGIS Server 10.4 到 10.7.1 的所有受支持版本发布了修补程序。

原因

为了解决已知缺陷 BUG-000128060 发布了此修补程序。

解决方案或解决方法

为了解决此漏洞,Esri 强烈建议所有运行 ArcGIS Server 的客户尽快安装 ArcGIS Server Security 2020 Update 1 patch 。 此修补程序适用于 ArcGIS Enterprise 10.4 - 10.7.1,可以从 Esri 支持中心网站下载此修补程序。 此修补程序包含此问题的修复程序以及其他安全问题的建议修复程序。ArcGIS Server 10.8 包含修复程序,不需要修补程序。

如果对此修补程序以及解决安全漏洞存有疑问 Esri 技术支持或您的 Esri 分销商(仅限美国以外的客户)以解决这一问题。

上次修改时间: 3/31/2020

文章 ID: 000022931

软件: ArcGIS GeoEvent Server 10.7.1, 10.7, 10.6.1, 10.6, 10.5.1, 10.5 ArcGIS GIS Server 10.7.1, 10.7, 10.6.1, 10.6, 10.5.1, 10.5 ArcGIS Image Server 10.7.1, 10.7, 10.6.1, 10.6, 10.5.1, 10.5 ArcGIS GeoAnalytics Server 10.7.1, 10.7, 10.6.1, 10.6, 10.5.1, 10.5