Portal for ArcGIS Yama Güncellemesi ile Güvenliğinizi Arttırın
Portal for ArcGIS uygulamasına ait 2020 Update 2 güvenlik yaması destek sitesinde yayınlanmaya başlanmıştır. Bu yama, bir kritik ve birden fazla yüksek derecede güvenlik sorunlarına çözümü içermektedir.
Portal for ArcGIS uygulaması 2020 Update 2 Güvenlik Yaması
Esri, Portal for ArcGIS 10.6.1 veya 10.7.1 sürümünü kullanan müşterilere bu yamayı şiddetle tavsiye etmektedir. 10.6 ve 10.7 sürümünü kullanan kullanıcılar bu yama paketini uygulayabilmeleri için 10.6.1 veya 10.7.1 sürümüne yükseltmelidir. 10.5.1 sürümü artık yama almamaktadır. ArcGIS Enterprise 10.5.1 sürümü ve alt sürümleri kullanan kullanıcıların 10.8.1 sürümlerine yükseltme yapmaları önerilir. Güvenlik yaması hakkında detaylı bilgiye erişmek ve indirmek için linke tıklayınız.
Bu yamada aşağıdaki güvenlik sorunlarına yönelik çözümleri içermektedir;
BUG-000136840 – Portal for ArcGIS SSRF güvenlik açığı
CVSSv3.1 Temel Puan: 9.8 (Yüksek) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
BUG-000128193 Portal for ArcGIS cross-site istek sahteciliği (CSRF) güvenlik açığı
CVSS 3.0 Temel Puan: 8.8 (Yüksek) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
BUG-000132356 Portal for ArcGIS XSS güvenlik açığı
CVSS 3.1 Temel Puan: 8.8 (Yüksek) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
BUG-000132357 Portal for ArcGIS XSS güvenlik açığı
CVSS 3.1 Temel Puan: 8.8 (Yüksek) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
BUG-000132353 Portal for ArcGIS XXE ve SSRF güvenlik açığı
CVSS 3.0 Temel Puan: 8.6 (Yüksek) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
BUG-000132351 Portal for ArcGIS Kontrolsüz kaynak tüketilmesi sorunu
CVSS 3.0 Temel Puan: 7.5 (Yüksek) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
BUG-000134926 Portal for ArcGIS Oturum açma sayfasında doğrulanmamış yeniden yönlendirme sorunu
(10.7.1 için) CVSSv3.1 Temel Puan: 6.1 (Orta) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
BUG-000132449 Portal proxy allowedProxyHosts parametresini tam olarak karşılamıyor.
CVSS 3.1 Temel Puan: 5.9 (Orta) CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
BUG-000132452 Portal for ArcGIS Anasayfa (10.6.1 için) XSS güvenlik açığı
CVSS 3.1 Temel Puan: 5.4 (Orta) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
BUG-000127472 Web AppBuilder XSS güvenlik açığı
CVSS 3.0 Temel Puan: 4.6 (Orta) CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
BUG-000123692 Portal for ArcGIS Map Viewer XSS güvenlik
CVSS 3.0 Temel Puan: 4.6 (Orta) CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
BUG-000133255 Portal for ArcGIS sistem özellikleri uygun şekilde şifrelenmemiş
CVSS 3.0 Temel Puan: 4.4 (Orta) CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
BUG-000132359 Portal for ArcGIS 2020 Update 1 güvenlik yaması yüklendikten sonra proxy üzerinden dış url adreslerine istek gönderme sorunu
Bu yamanın güncellenmesinin ardından aşağıdaki hatalara ait güncelleştirmeler yapıldı.
- BUG-000137920 Portal for ArcGIS 2020 Update 2 güvenlik yaması yüklendikten sonra Portal for ArcGIS üzerindeki İngilizce olmayan klasör isimlerinin farklı görünmesi. Genel açıklama şu şekildedir;
Güncelleme 22 Mart 2021: ArcGIS Security 2020 Update 2 yaması BUG-000137920 sorununu çözmek amacıyla yeniden yayınlanmıştır. BUG-000137920 için bir çözüm içeren revize edilmiş Portal for ArcGIS 2020 Güncelleme 2 Yaması artık destek sitesinden indirilebilir. URL adresi: https://support.esri.com/en/download/7837 - BUG-000120300 Herkese açık olarak paylaşılan SceneLayer ile ilişkilendirilen FeatureLayer kimlik doğrulama sorunu
Güncelleme 22 Mart 2021: BUG-000120300 için bir çözümü içeren Portal for ArcGIS 10.6.1 Güvenlik 2020 Güncelleme 2 Yaması’nın revize edilmiş sürümü destek sitesinden indirilebilir. URL Adresi: https://support.esri.com/en/download/7837
Esri, Portal for ArcGIS 10.7.1 kullanıcıları için bu yama güncellemesinin uygulanmasını şiddetle önermektedir. Portal for ArcGIS 10.6.1 kullanan müşteriler, kritik öncelikli güvenlik sorunlarını ele almak için bu yamayı uygulayabilir.
Daha fazla bilgi için Esri Türkiye Profesyonel Hizmetler ile iletişime geçebilirsiniz.
Esri Türkiye 2021