ArcGIS Server Security 2021 Güncelleme 2 Yaması

 

Esri, ArcGIS Server Security 2021 Güncelleme 2 Yamasını yayınladı. Bu yama, 10.9, 10.8.1, 10.7.1 ve 10.6.1 sürümlerinde yakın zamanda tespit edilen dört güvenlik açığını giderir. Tüm güvenlik yamalarında olduğu gibi, tüm sistem yöneticilerini ilk fırsatta ilgili sistemlere güvenlik güncellemelerini yüklemelerini tavsiye ediyoruz.

Bu yamada bir yüksek önem derecesine sahip güvenlik açığı ve üç orta önem düzeyine sahip güvenlik açığı ele alınmaktadır.

Müşterilerimizin operasyonlarındaki bu güvenlik açığı riskini daha iyi değerlendirmelerini sağlamak için Common Vulnerability Scoring System (CVSS) puanları sağlıyoruz. Resmi bir yamanın kullanılabilirliğini yansıtmak için hem temel puan hem de değiştirilmiş zamansal puan sağlanmıştır. Bu metriklerin tanımı hakkında daha fazla bilgi için lütfen Common Vulnerability Scoring System bakın.

Bu yamada düzeltilen güvenlik açıkları şunları içerir:

Esri, ArcGIS Server 10.9 ve önceki sürümler tarafından sağlanan özellik hizmetlerindeki bir SQL enjeksiyon güvenlik açığı, uzak, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış sorgular aracılığıyla hedeflenen hizmetlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini etkilemesine olanak tanır.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 3 Temel Puan, 6.0 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – SQL Enjeksiyonu (SQLi) CWE-89 – CVSS 6.0

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 1 Temel Puan, 5.2 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 5.2

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

  • 3 Temel Puan, 4.1 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Bilgiye Maruz Kalma CWE-200 – CVSS 4.1

Hafifletici önlemler:

Bu sorunu hafifletmeye yönelik seçenekler arasında barındırılan özellik hizmetinin ve oluşturulan herhangi bir barındırılan özellik hizmeti görünümlerinin güvenliğinin sağlanması yer alır.

ArcGIS Server yardım belgelerindeki bir uzak dosya ekleme güvenlik açığı, uzaktaki, kimliği doğrulanmamış bir saldırganın, saldırgan tarafından sağlanan html içeren bir sayfaya enjekte etmesine izin verebilir.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 7 Temel Puan, 3.3 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O

Güvenlik Açığı Ayrıntıları

CVE Çok Yakında – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 3.3

Hafifletici önlemler:

Yardım belgeleri web katmanında güvence altına alınabilir. Aşağıdaki linkten inceleyebilirsiniz.

https://community.esri.com/t5/esri-software-security-privacy-blog/bg-p/esri-software-security-and-privacy-blog/page/2

ArcGIS Enterprise 10.8 Yazılım ve Yama Güncelleme Kontrolü – Kurulumu (Windows)

 

Esri periyodik olarak ArcGIS Enterprise dahil bütün ArcGIS yazılım ve bileşenleri için yama ve güncelleme yayınlar. Her güncelleme e-posta ile bildirilir ve Esri destek web sitesinden duyurulur. Ayrıca güncelleme kontrollerini patchnotification aracı ile gerçekleştirebilirsiniz.

Bu araç makinede kurulu olan ArcGIS Enterprise bileşenleri, rolleri ve eklentileri ile ilgili güncelleme raporlar. Ayrıca kurulmuş yamalar hakkında bilgi verir.

Bu aracı kullanarak yazılımlar için gereken yama ve güncelleme paketlerini seçiminize göre kurup yükleyebilirsiniz.

Not: Bu araç konsol modunda seçim yapılarak kurulumu desteklemez.

Bu aşamaları aşağıdaki gibi yapabilirsiniz.

  • ArcGIS Server sunucusunda oturum açınız.
  • Windows menüsünüden “Başlat >> Bütün Programlar >> ArcGIS >> ArcGIS Server >> Check for ArcGIS Enterprise Updates” üzerinden erişebilirsiniz. Alternatif olarak ArcGIS Server kurulu dizinde (<ArcGIS Server Kurulum Dizini>\tools\patchnotification ) bat  dosyasını bulabilirsiniz.  “-c” parametresiyle konsol üzerinden çalıştırabilirsiniz. Bu işlemleri yönetici yetkisi ile yaptığınızdan emin olun.

  • Güncelleme bilgilerini görüntüleyip ilgili linke tıklayarak indirip kurulum gerçekleştirebilirsiniz.
  • Ayrıca konsol ile çalıştırırken “-i sec” parametresi ile sadece güvenlik yamalarını kurabilirsiniz. Bütün güncellemeleri indirmek ve kurmak için “-i all” paramatresini kullanabilirsiniz.

  • Varsayılan indirme dizini “İndirilenler” dizin olarak tanımlıdır Bunu ayarlar sekmesinden değiştirebilirsiniz. Ayrıca -d paramatresi devamına belirteceğiniz dizin ile belirli bir dizine indirme tanımlayabilirsiniz.

  • İndirme ve kurulum işlemi gerçekleştikten sonra silinmesi için kurulum tamamlantıktan silinmesi için menüden “Delete patch folder” seçeneğinen Always delete after successful installs” seçerek kurulumu yapabilirsiniz. Ayrıca “-o always” parametresi ile komut satırından bu işlemleri gerçekleştirebilirsiniz.

 

Özel çözümler ve profesyonel destek için Esri Türkiye Profesyonel Hizmet birimi ile iletişim kurabilirsiniz.

ArcGIS Online ve ArcGIS Server Kullanarak Veri Paylaşımı

ArcGIS Online ve ArcGIS Server Kullanarak Veri Paylaşımı

Coğrafi verileri depoladığınız yerel veri tabanında seçeceğiniz bilgileri, internet üzerinden kişi veya topluluklar ile paylaşabildiğiniz ve bunu yüksek güvenlikli, düşük bütçe ve az personel kaynağı ayırarak yapmak istediğinizde ArcGIS Online tam ihtiyacınız olan yazılım servisidir. Amacımız veri tabanımızı dış kullanıma yani ‘public’ kullanıma açmadan, içerdiği coğrafi verileri güvenilir bir platform içerisinde, kimlik doğrulama ve rol bazlı yetkilendirme yetenekleriyle, web haritaları kullanılarak veriyi paylaşmak.

ArcGIS Online bulut tabanlı haritalama ve analiz çözümüdür. Haritalar oluşturma, veri analizleri yapma ve bunların paylaşımı ve iş birliği için kullanılmaktadır. ArcGIS Online içerisinde tutulan veriler ve haritalar güvenli ve özel bir altyapı içerisinde tutulur ve haritalama ve BT gereksinimlerinizi karşılamak için yapılandırılabilir. ArcGIS Online üzerinde oluşturduğunuz web haritaları, web uygulamaları, yönetici panelleri v.b. ArcGIS Online içeriklerini kişi veya bir toplulukla kolay ve güvenilir bir şekilde paylaşılmasına imkan sağlamaktadır.

ArcGIS Online, ‘SaaS’ (software as a service – hizmet olarak yazılım) tipinde bir platform olduğundan bu hizmete üyeliğiniz olduğunda sadece üyeliğinizi yenilemek için ücret ödersiniz, herhangi bir donanım, işlemci, işletim sistemi lisansı v.b. giderleriniz olmaz. Performans olarak ArcGIS Online içerisinde oluşturduğunuz içeriğinizin yoğun kullanımlarında otomatik olarak ölçeklendiğinden 7×24 kesintisiz çalışıp hizmet vermeyi amaçlamaktadır.

Veri tabanınızdaki coğrafi verileri, güvenlik seviyesi yüksek ve belirlediğiniz kişi veya kişilere paylaşmayı imkan sağlayan ArcGIS Online’da web haritaları içerisinde “katman” olarak kolay şekilde paylaşabilirsiniz. Bununla birlikte ArcGIS eko sisteminde bulunan Workforce for ArcGIS, Navigator for ArcGIS, Explorer for ArcGIS, Collector for ArcGIS, ArcGIS Dashboard v.b. uygulamalar içerisinde kullanım imkanı da sağlamaktadır.

Veri Paylaşımı

Kurumsal veya kişisel veri tabanınızdaki coğrafi bilgileri 2 şekilde ArcGIS Online içerisinde kullanabilirsiniz.

1.      Veri Kopyalayarak

Veri tabanınızdaki verileri ArcGIS Desktop ürünü ile uygun formata dönüştürüp, ArcGIS Online içerisine aktarma işlemi yapabilirsiniz.

Artılar

  1. Hızlı şekilde verileri aktarımı.

Eksiler

  1. Veriler kopyalanacağından veri tabanında veri üzerinden yapılan değişiklikler ArcGIS Online içerisinde görünmeyecektir. Tam tersi durum da söz konusudur; içeri aktarım sonrasında ArcGIS Online’da yapılan veri değişiklikleri, yerel veri tabanına yansımayacaktır.
  2. Güncellenen veriler belirli aralıklarla ya manuel ya da yazılacak uygulamalar ile güncelliği tutulmalı hem veri tabanında hem de ArcGIS Online’da.
  3. İçeri aktarım dosya formatlarında veri limiti bulunması.
  4. Aynı veri hem veri tabanında hem de ArcGIS Online içerisinde bulunduğundan hangi verinin güncel olduğu oluşturacağınız özel iş akışları ile belirlenmiş olur.

2.      ArcGIS Server Kullanarak

ArcGIS Server’da referans olarak göstereceğiniz veri tabanınızdaki verileri kullanan web servisler (REST) oluşturarak, ArcGIS Online web haritalarında katman olarak bu servisleri tanıtıp paylaşım yapabilirsiniz.

Artılar

  1. Veri tabanını ArcGIS Server’a kaydedildikten sonra istenilen coğrafi tablolar ArcGIS Online içerisinde kullanılır.
  2. Veri kopyalama yapılmayıp, veri referansı edildiğinden, ArcGIS Online’da veri değişiklikleri direkt olarak veri tabanında gerçekleştirilir.
  3. Verinin her zaman en güncel versiyonu veri tabanında bulunur ve tekildir.

Eksiler

  1. Güvenli bir altyapıya ihtiyaç duyulmaktadır.
  2. Kullanım yoğunluğuna göre sunucu donanımları iyi olmalı.

Bu paylaşım şeklinde size ait olan veri tabanındaki bilgiler ile ArcGIS Online içerisinde servis olarak bulunan altlık haritaları kullanılarak bir web haritasında paylaşımıdır. Bu yapıda verileriniz hiçbir zaman ArcGIS Online ortamına taşınmaz. Web haritasını kim istekte bulunursa örneğin bir internet tarayıcı, o erişim istemektedir.

Yukarıdaki şekilde görüldüğü üzere, kendi iç ağınızda bulunan verileri içeren bir ArcGIS Server REST servisi, ArcGIS Online içerisinde bulunan bir web haritasında katman olarak eklenildiğinde, en sağdaki görüntü, istemcinin (tarayıcı) ekranında oluşur. Ve sizin ArcGIS Server’da bulunan servise istemci istek gönderir, ArcGIS Online değil. ArcGIS Online sadece aracı rolündedir.

ArcGIS Server kullanılarak veri tabanındaki bilgileri dış kullanıma açılacağı zaman, sistem mimarinin aşağıdaki resimde belirtildiği gibi uygun şekilde yapılandırılması gerekmektedir.

Genel Kullanım İçin Veri Paylaşımı Süreçleri

Öncelikle veri tabanınızda bulunan bir coğrafi tabloyu ArcGIS Server üzerinde servis olarak yayınlanmalı. Servisin genel kullanıma (“public”) açık şekilde paylaşılması gerekmektedir.

Sonra ArcGIS Online organizasyon hesabınızda bir web haritası oluşturup, katman olarak ArcGIS Server üzerinde paylaşmış olduğunuz servisin URL adresini katman olarak ekliyorsunuz. Oluşturulan web haritası da genel kullanıma açık şekilde paylaşılmalı.

Kurum dışında internet üzerinde bulunan dış kullanıcılar mobil cihaz veya bilgisayarlardan istekte bulundukları zaman, ArcGIS Online organizasyon hesabınızda oluşturduğunuz web haritasına erişim yapılacaktır. Web haritasında katman olarak tanıtılan servis, kurum içindeki veri tabanındaki bilgileri ArcGIS Server üzerinden paylaşılarak istemcinin ekranında verileriniz görüntülenecektir.

Özel çözümler ve profesyonel destek için Esri Türkiye Profesyonel Hizmet birimi ile iletişim kurabilirsiniz.

Esri Türkiye 2020

ArcGIS Server Güvenlik Bilgilendirmesi – ArcGIS Server Security 2020 Upgrade Patch 1 Yayınlandı

Esri, ArcGIS Enterprise’ın ArcGIS Server bileşeninde, dağıtıma ağ erişimi bulunan kişiler tarafından belirli işlem adımları gerçekleştirildiğinde Sunucu Taraflı İstek Sahteciliği (SSRF) ile sonuçlanabilen kritik bir sistem açığı keşfetti. Bu, kimliği doğrulanmamış kişilerin diğer altyapı kaynaklarına erişmesine ya da kaynakları kontrol etmesine yol açabilir.

Bu sorun, altyapıya ve yapılandırmaya bağlı olarak herhangi bir dağıtımı etkileyebilir ve tüm müşterilerden en kısa zamanda uygun yamayı yüklemeleri istenmektedir. Amazon Web Services’de (AWS) bu sorunu özellikle bu dağıtımlar için acil hale getiren bilinen kötüye kullanım vektörleri bulunmaktadır.

Bu güvenlik sorunu Windows ve Linux’ta ArcGIS Server 10.8’den önceki desteklenen tüm versiyonları etkiler.

Ne yapmanız gerekiyor?

10.4’ten 10.7.1’e kadar tüm ArcGIS Server versiyonları için yamalar yayınlanmıştır. Esri, mümkün olan en kısa sürede ilgili yamayı kurmanızı tavsiye etmektedir. ArcGIS Server 10.8 bu düzeltmeleri içermektedir ve bu sorundan etkilenmemektedir.

Tüm yamalar, daha fazla bilginin bulunduğu Esri Destek sitesinden indirilebilir. ArcGIS Server Security 2020 Upgrade 1 Patch, 10.4, 10.4.1, 10.5, 10.5.1, 10.6, 10.6.1, 10.7, ve 10.7.1 versiyonları için mevcuttur.

Ayrıca, uygun olan yamayı indirmek ve kurmak için Patch Notification Tool’u da kullanabilirsiniz. Bu aracın nasıl kullanıldığı ile ilgili yazılım dokümantasyonunu inceleyebilirsiniz. Bu yamanın tüm ArcGIS Server makinelerinizde kurulu olduğundan emin olunuz.

Daha fazla bilgi için;

Detaylı bilgi için buradan ilgili teknik makaleyi inceleyebilirsiniz.

Bu konu ile ilgili sonraki güncellemeler ve diğer güvenlik ile ilgili konular için trust.arcgis.com RSS Feed’ine abone olabilirsiniz.

Esri Türkiye 2020