ArcGIS Server Security 2021 Güncelleme 2 Yaması

 

Esri, ArcGIS Server Security 2021 Güncelleme 2 Yamasını yayınladı. Bu yama, 10.9, 10.8.1, 10.7.1 ve 10.6.1 sürümlerinde yakın zamanda tespit edilen dört güvenlik açığını giderir. Tüm güvenlik yamalarında olduğu gibi, tüm sistem yöneticilerini ilk fırsatta ilgili sistemlere güvenlik güncellemelerini yüklemelerini tavsiye ediyoruz.

Bu yamada bir yüksek önem derecesine sahip güvenlik açığı ve üç orta önem düzeyine sahip güvenlik açığı ele alınmaktadır.

Müşterilerimizin operasyonlarındaki bu güvenlik açığı riskini daha iyi değerlendirmelerini sağlamak için Common Vulnerability Scoring System (CVSS) puanları sağlıyoruz. Resmi bir yamanın kullanılabilirliğini yansıtmak için hem temel puan hem de değiştirilmiş zamansal puan sağlanmıştır. Bu metriklerin tanımı hakkında daha fazla bilgi için lütfen Common Vulnerability Scoring System bakın.

Bu yamada düzeltilen güvenlik açıkları şunları içerir:

Esri, ArcGIS Server 10.9 ve önceki sürümler tarafından sağlanan özellik hizmetlerindeki bir SQL enjeksiyon güvenlik açığı, uzak, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış sorgular aracılığıyla hedeflenen hizmetlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini etkilemesine olanak tanır.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 3 Temel Puan, 6.0 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – SQL Enjeksiyonu (SQLi) CWE-89 – CVSS 6.0

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 1 Temel Puan, 5.2 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 5.2

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

  • 3 Temel Puan, 4.1 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Bilgiye Maruz Kalma CWE-200 – CVSS 4.1

Hafifletici önlemler:

Bu sorunu hafifletmeye yönelik seçenekler arasında barındırılan özellik hizmetinin ve oluşturulan herhangi bir barındırılan özellik hizmeti görünümlerinin güvenliğinin sağlanması yer alır.

ArcGIS Server yardım belgelerindeki bir uzak dosya ekleme güvenlik açığı, uzaktaki, kimliği doğrulanmamış bir saldırganın, saldırgan tarafından sağlanan html içeren bir sayfaya enjekte etmesine izin verebilir.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 7 Temel Puan, 3.3 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O

Güvenlik Açığı Ayrıntıları

CVE Çok Yakında – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 3.3

Hafifletici önlemler:

Yardım belgeleri web katmanında güvence altına alınabilir. Aşağıdaki linkten inceleyebilirsiniz.

https://community.esri.com/t5/esri-software-security-privacy-blog/bg-p/esri-software-security-and-privacy-blog/page/2

Nasıl Yapılır: ArcGIS Enterprise Güncellemelerinin Yüklenmesi

Her program gelişen teknolojiye ayak uydurmak için ya da mevcut versiyonda fark edilen eksikliklerin giderilmesi için kullanıcılarına versiyon güncellemeleri ya da yamalar sunar. Esri, mümkün oldukça versiyon güncellemeyi önermektedir. Versiyon güncellemenin mümkün olmadığı durumlarda ise yazılım yamalarının kurulmasını teşvik eder.

Windows işletim sistemine sahip makinenizde yüklü olan ArcGIS ürünlerini görüntülemek için PatchFinder aracını kullanabilirsiniz. Yüklü olan ArcGIS yamalarını görüntülemek için ise Control Panel (Denetim Masası) > Programs and Features (Programlar ve Özellikler) > View installed updates (Yüklü güncelleştirmeler) yolunu kullanabilirsiniz.

ArcGIS Enterpise’dan sorumlu yöneticiler Esri’nin zaman zaman yayınladığı yazılım yamalarını bileşenler için kontrol etmeli ve yüklemelidir. Bu yamalardan bazıları güvenlik yamaları gibi herkesin yüklemesi önerilen kritik seviyedeki yamalar olabilirken, bazı yamalar ise sadece spesifik özellik ya da uygulamalar için isteğe bağlı olarak sunulmaktadır. Esri’nin ArcGIS Enterprise için yayınladığı bu yamaları 3 farklı şekilde yükleyebilirsiniz.

  1. Esri Destek sitesinden istediğiniz ürünlere ait yamaların özellikleri ile ilgili detaylı bilgi alabilir ve sonrasında yüklemek istediklerinizi indirebilirsiniz.

 

2. Bu yamaları ArcGIS Enterprise bileşenlerinin kurulu olduğu her makinede yüklü olan “Check for ArcGIS Enterprise Updates” adlı araç ile inceleyebilir ve yine istediğiniz yamaları seçerek yükleyebilirsiniz. Aracı çalıştırmak için Windows işletim sistemine sahip ArcGIS Enterprise kurulu olan makinenizde Başlat kısmına “Check for ArcGIS Enterprise Updates” yazmanız ve karşınıza çıkan program adına tıklamanız yeterli. Araç açıldıktan sonra ilgili yamaların yanında bulunan indirme işaretlerine tıklayarak istediğiniz yamaları indirebilirsiniz. Tüm yamaları indirmek için ise aşağıda bulunan butonları kullanabilirsiniz.

 

3. Ya da ArcGIS Enterprise 10.6 sonrası versiyonlarda “ArcGIS Enterprise Check for Updates” aracını komut satırından sessiz olarak çalıştırarak arkanıza yaslanıp yamaların kendiliğinden yüklenmesini izleyebilirsiniz.

Yazacağımız komut “<ArcGIS Server kurulum dizini>\tools\patchnotification -c -o -i all” komutuna benzer olacaktır. Bu komut için kullanılan parametreler şu şekildedir:

“-c” ile aracı konsol modunda başlatabilirsiniz.

“-i sec” ile sadece güvenlik yamalarını indirebilirsiniz

“-i all” ile tüm yamaları indirebilirsiniz

“-d” ile indirme konumunu belirleyebilirsiniz

“-o always” ile yamaların indirildiği dosyayı kurulum sonrasında silebilirsiniz

Not: Komut satırını yönetici olarak başlatmayı unutmayınız.

 

Yukarıdaki görselde gördüğünüz üzere sadece güvenlik güncellemelerini komut ile yükleme işlemini başlattık. İşlem tamamlandıktan sonra yazımızın ilk kısmında bahsettiğimiz PatchFinder aracını kullanarak ya da “Yüklü güncelleştirmeler” yolundan işlemin başarılı olup olmadığını kontrol edebilirsiniz.

Bu yazımızda ArcGIS Enterprise’ı 3 farklı şekilde nasıl güncelleyeceğinize değindik. ArcGIS Enterprise güncellemelerinizi otomatikleştirmek için “Nasıl Yapılır: ArcGIS Enterprise Güncellemelerini Otomatikleştirme” blog yazımızı inceleyebilirsiniz.

Esri Türkiye 2020

ArcGIS Enterprise Portal Güvenlik Bilgilendirmesi – Portal for ArcGIS Security 2020 Upgrade Patch 1 Yayınlandı

ArcGIS Enterprise Portal bileşeninde kritik bir Sunucu Taraflı İstek Sahteciliği (SSRF) sistem açığı tespit edildi.

Bu güvenlik sorunundan ArcGIS Enterprise 10.8’den eski tüm Windows ve Linux versiyonları etkilenmektedir. Buna yanıt olarak Esri, ArcGIS Enterprise’ın 10.5’ten 10.7.1’e kadar mevcut tüm versiyonları için Portal for ArcGIS Security 2020 Update 1 Patch adlı yamayı yayınlamıştır. ArcGIS Enterprise 10.8 bu durumdan etkilenmemektedir. ArcGIS Enterprise 10.3.x ve 10.4.x versiyonları vadesi gelmiş destek durumundadır. Esri, emekli olmuş (retired) ya da vadesi gelmiş (mature) durumda olan versiyonlar için yama desteği sunmamaktadır. Daha fazla bilgi için Esri Ürün Ömrü Politikası’nı inceleyebilirsiniz.

 Amazon Web Services’de (AWS) bu sorunu özellikle bu dağıtımlar için acil hale getiren bilinen kötüye kullanım vektörleri bulunmaktadır, ancak diğer bulut ortamlarında çalışan müşteriler kendi bulut sağlayıcısının spesifik özelliklerine bağlı olarak etkilenebilir. ArcGIS Enterprise’ın hangi ortamda kurulu olduğuna bakmaksızın Esri, her zaman tüm ArcGIS Enterprise yazılımları için en güncel yamaların kurulmasını önermektedir.

Esri, tüm ArcGIS Enterprise yöneticilerine bu yamayı ArcGIS Enterprise Patch Notification aracını kullanarak kurmalarını ya da https://support.esri.com/en/download/7777 adresinden kendilerine uygun olan yamayı bularak indirmelerini tavsiye eder.

Bu konu ile ilgili sonraki güncellemeler ve diğer güvenlik ile ilgili konular için trust.arcgis.com RSS Feed’ine abone olabilirsiniz.

ArcGIS Server Güvenlik Bilgilendirmesi – ArcGIS Server Security 2020 Upgrade Patch 1 Yayınlandı

Esri, ArcGIS Enterprise’ın ArcGIS Server bileşeninde, dağıtıma ağ erişimi bulunan kişiler tarafından belirli işlem adımları gerçekleştirildiğinde Sunucu Taraflı İstek Sahteciliği (SSRF) ile sonuçlanabilen kritik bir sistem açığı keşfetti. Bu, kimliği doğrulanmamış kişilerin diğer altyapı kaynaklarına erişmesine ya da kaynakları kontrol etmesine yol açabilir.

Bu sorun, altyapıya ve yapılandırmaya bağlı olarak herhangi bir dağıtımı etkileyebilir ve tüm müşterilerden en kısa zamanda uygun yamayı yüklemeleri istenmektedir. Amazon Web Services’de (AWS) bu sorunu özellikle bu dağıtımlar için acil hale getiren bilinen kötüye kullanım vektörleri bulunmaktadır.

Bu güvenlik sorunu Windows ve Linux’ta ArcGIS Server 10.8’den önceki desteklenen tüm versiyonları etkiler.

Ne yapmanız gerekiyor?

10.4’ten 10.7.1’e kadar tüm ArcGIS Server versiyonları için yamalar yayınlanmıştır. Esri, mümkün olan en kısa sürede ilgili yamayı kurmanızı tavsiye etmektedir. ArcGIS Server 10.8 bu düzeltmeleri içermektedir ve bu sorundan etkilenmemektedir.

Tüm yamalar, daha fazla bilginin bulunduğu Esri Destek sitesinden indirilebilir. ArcGIS Server Security 2020 Upgrade 1 Patch, 10.4, 10.4.1, 10.5, 10.5.1, 10.6, 10.6.1, 10.7, ve 10.7.1 versiyonları için mevcuttur.

Ayrıca, uygun olan yamayı indirmek ve kurmak için Patch Notification Tool’u da kullanabilirsiniz. Bu aracın nasıl kullanıldığı ile ilgili yazılım dokümantasyonunu inceleyebilirsiniz. Bu yamanın tüm ArcGIS Server makinelerinizde kurulu olduğundan emin olunuz.

Daha fazla bilgi için;

Detaylı bilgi için buradan ilgili teknik makaleyi inceleyebilirsiniz.

Bu konu ile ilgili sonraki güncellemeler ve diğer güvenlik ile ilgili konular için trust.arcgis.com RSS Feed’ine abone olabilirsiniz.

Esri Türkiye 2020