Portal for ArcGIS Güvenlik Güncellemesi 2021 1 Yaması
Esri, 10.9, 10.8.1, 10.8, 10.7.1, 10.6.1 ve 10.6 sürümlerinde yakın zamanda tanımlanan bir dizi güvenlik açığını çözen ArcGIS Security 2021 Güncelleme 1 Yaması için Portal’ı yayımladı. Tüm güvenlik yamalarında olduğu gibi, tüm sistem yöneticilerini ilk fırsatta ilgili sistemlere güvenlik güncellemelerini yüklemelerini tavsiye ediyoruz.
Portal for ArcGIS Security 2021 Güncelleme 1 Yaması bir yüksek önem derecesine sahip güvenlik açığına ve iki orta önem düzeyine sahip güvenlik açığına yöneliktir.
Bu güvenlik açığı riskini daha iyi değerlendirmelerini sağlamak için Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanları sağlıyoruz. Resmi bir yamanın kullanılabilirliğini yansıtmak için hem temel puan hem de değiştirilmiş zamansal puan sağlanmıştır.
Bu metriklerin tanımı hakkında daha fazla bilgi için Ortak Güvenlik Açığı Puanlama Sistemine (Common Vulnerability Scoring System) bakın.
Bu yamada düzeltilen güvenlik açıkları şunları içerir:
- Esri Portal for ArcGIS 10.9 ve önceki sürümlerinde kuruluşa özel oturum açmalarda, kimliği doğrulanmış uzak bir saldırganın başka bir hesabın kimliğine bürünmesine izin verebilecek bir ayrıcalık yükseltme güvenlik açığı vardır.
Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1) Ayrıntıları
- 8 Temel Puan, 8.4 Geçici Puan
- Düzeltme Düzeyi: Resmi Düzeltme Mevcut
- Güven Bildirimi: Esri tarafından onaylandı.
CVSS Vektor: #CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/RL:O/RC:C
Hafifletici unsurlar
- ArcGIS Kuruluşa Özgü Oturum Açma SSS’inde belgelendiği gibi SAML’ye özgü en iyi güvenlik uygulamalarını uygulayın
- Kuruluşa Özel Girişlerin geçici olarak devre dışı bırakılması (Önerilmez)
Esri Portal for ArcGIS sürüm 10.9 ve önceki sürümlerinde yansıtılan Siteler Arası Komut Dosyası (XSS) güvenlik açığı, uzaktaki bir saldırganın kullanıcıyı, kullanıcının tarayıcısında rastgele JavaScript kodu çalıştırabilecek hazırlanmış bir bağlantıyı tıklamaya ikna etmesine olanak verebilir.
Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1) Ayrıntıları
- 1 Temel Puan, 5.8 Geçici Puan
- Düzeltme Düzeyi: Resmi Düzeltme Mevcut
- Güven Bildirimi: Esri tarafından onaylandı.
CVSS Vektor: #CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C
Güvenlik Açığı Ayrıntıları
Cross Site Scripting (XXS) CWE-79 – CVSS 5.8
- Esri Portal for ArcGIS sürüm 10.9 ve daha düşük sürümlerinde depolanan Siteler Arası Komut Dosyası (XSS) güvenlik açığı, uzaktaki bir saldırganın kullanıcıyı, kullanıcının tarayıcısında rasgele JavaScript kodu çalıştırabilecek hazırlanmış bir bağlantıyı tıklamaya ikna etmesine olanak verebilir.
Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1) Ayrıntıları
- 4 Temel Puan, 5.2 Geçici Puan
- Düzeltme Düzeyi: Resmi Düzeltme Mevcut
- Güven Bildirimi: Esri tarafından onaylandı.
CVSS Vektor: #CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C
Ek Notlar;
Bu yama, ArcGIS Enterprise’ın şu anda desteklenen sürümlerinde (10.6, 10.6.1, 10.7.1, 10.8, 10.8.1 ve 10.9) çalışan tüm müşteriler için şiddetle tavsiye edilmektedir.
Hem müşteriler hem de Esri için yama sürecini kolaylaştırmaya yardımcı olacak yeni bir yaklaşım olarak bu yama, ArcGIS Enterprise’ın Portal for ArcGIS bileşeninin gelecekteki yamaları için bir ön koşul olacaktır. Sonuç olarak, bu yama Windows sistemlerine uygulandıktan sonra kaldırılamaz. Yama Linux sistemlerinde kaldırılabilse de, gelecekte yamaların istendiği durumlarda tekrar yüklenmesi gerekecektir.
Bu, aynı zamanda, bu yamanın, daha önce bireysel sürümler için oluşturulmuş ve yayınlanmış tüm düzeltmelerin ve yamaların toplamı olduğu anlamına gelir.
Bu yeni yama ile kullanımdan kaldırılan eski yamalar artık yama bildirim aracında görünmeyecektir. Bazı eski Portal for ArcGIS yamaları, bu yamalar içinde toplanmadıkları ve dolayısıyla ayrı olarak kurulmaları gerektiği durumlarda listelenmeye devam edecektir.
Detaylı bilgi için Esri Türkiye Profesyonel Hizmetler birimi ile irtibata geçiniz.
Esri Türkiye 2021