ArcGIS Server Security 2021 Güncelleme 2 Yaması

 

Esri, ArcGIS Server Security 2021 Güncelleme 2 Yamasını yayınladı. Bu yama, 10.9, 10.8.1, 10.7.1 ve 10.6.1 sürümlerinde yakın zamanda tespit edilen dört güvenlik açığını giderir. Tüm güvenlik yamalarında olduğu gibi, tüm sistem yöneticilerini ilk fırsatta ilgili sistemlere güvenlik güncellemelerini yüklemelerini tavsiye ediyoruz.

Bu yamada bir yüksek önem derecesine sahip güvenlik açığı ve üç orta önem düzeyine sahip güvenlik açığı ele alınmaktadır.

Müşterilerimizin operasyonlarındaki bu güvenlik açığı riskini daha iyi değerlendirmelerini sağlamak için Common Vulnerability Scoring System (CVSS) puanları sağlıyoruz. Resmi bir yamanın kullanılabilirliğini yansıtmak için hem temel puan hem de değiştirilmiş zamansal puan sağlanmıştır. Bu metriklerin tanımı hakkında daha fazla bilgi için lütfen Common Vulnerability Scoring System bakın.

Bu yamada düzeltilen güvenlik açıkları şunları içerir:

Esri, ArcGIS Server 10.9 ve önceki sürümler tarafından sağlanan özellik hizmetlerindeki bir SQL enjeksiyon güvenlik açığı, uzak, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış sorgular aracılığıyla hedeflenen hizmetlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini etkilemesine olanak tanır.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 3 Temel Puan, 6.0 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – SQL Enjeksiyonu (SQLi) CWE-89 – CVSS 6.0

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 1 Temel Puan, 5.2 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 5.2

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

  • 3 Temel Puan, 4.1 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Bilgiye Maruz Kalma CWE-200 – CVSS 4.1

Hafifletici önlemler:

Bu sorunu hafifletmeye yönelik seçenekler arasında barındırılan özellik hizmetinin ve oluşturulan herhangi bir barındırılan özellik hizmeti görünümlerinin güvenliğinin sağlanması yer alır.

ArcGIS Server yardım belgelerindeki bir uzak dosya ekleme güvenlik açığı, uzaktaki, kimliği doğrulanmamış bir saldırganın, saldırgan tarafından sağlanan html içeren bir sayfaya enjekte etmesine izin verebilir.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 7 Temel Puan, 3.3 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O

Güvenlik Açığı Ayrıntıları

CVE Çok Yakında – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 3.3

Hafifletici önlemler:

Yardım belgeleri web katmanında güvence altına alınabilir. Aşağıdaki linkten inceleyebilirsiniz.

https://community.esri.com/t5/esri-software-security-privacy-blog/bg-p/esri-software-security-and-privacy-blog/page/2