Portal for ArcGIS Güvenlik Güncellemesi 2021 1 Yaması

Esri, 10.9, 10.8.1, 10.8, 10.7.1, 10.6.1 ve 10.6 sürümlerinde yakın zamanda tanımlanan bir dizi güvenlik açığını çözen ArcGIS Security 2021 Güncelleme 1 Yaması için Portal’ı yayımladı. Tüm güvenlik yamalarında olduğu gibi, tüm sistem yöneticilerini ilk fırsatta ilgili sistemlere güvenlik güncellemelerini yüklemelerini tavsiye ediyoruz.

Portal for ArcGIS Security 2021 Güncelleme 1 Yaması bir yüksek önem derecesine sahip güvenlik açığına ve iki orta önem düzeyine sahip güvenlik açığına yöneliktir.

Bu güvenlik açığı riskini daha iyi değerlendirmelerini sağlamak için Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanları sağlıyoruz. Resmi bir yamanın kullanılabilirliğini yansıtmak için hem temel puan hem de değiştirilmiş zamansal puan sağlanmıştır.

Bu metriklerin tanımı hakkında daha fazla bilgi için Ortak Güvenlik Açığı Puanlama Sistemine (Common Vulnerability Scoring System) bakın.

Bu yamada düzeltilen güvenlik açıkları şunları içerir: 

  • Esri Portal for ArcGIS 10.9 ve önceki sürümlerinde kuruluşa özel oturum açmalarda, kimliği doğrulanmış uzak bir saldırganın başka bir hesabın kimliğine bürünmesine izin verebilecek bir ayrıcalık yükseltme güvenlik açığı vardır.

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1) Ayrıntıları

  • 8 Temel Puan, 8.4 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı.

CVSS Vektor: #CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/RL:O/RC:C

Hafifletici unsurlar

  • ArcGIS Kuruluşa Özgü Oturum Açma SSS’inde belgelendiği gibi SAML’ye özgü en iyi güvenlik uygulamalarını uygulayın
  • Kuruluşa Özel Girişlerin geçici olarak devre dışı bırakılması (Önerilmez)

 

Esri Portal for ArcGIS sürüm 10.9 ve önceki sürümlerinde yansıtılan Siteler Arası Komut Dosyası (XSS) güvenlik açığı, uzaktaki bir saldırganın kullanıcıyı, kullanıcının tarayıcısında rastgele JavaScript kodu çalıştırabilecek hazırlanmış bir bağlantıyı tıklamaya ikna etmesine olanak verebilir.

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1) Ayrıntıları

  • 1 Temel Puan, 5.8 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı.

CVSS Vektor: #CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C

Güvenlik Açığı Ayrıntıları

Cross Site Scripting (XXS) CWE-79 – CVSS 5.8

  • Esri Portal for ArcGIS sürüm 10.9 ve daha düşük sürümlerinde depolanan Siteler Arası Komut Dosyası (XSS) güvenlik açığı, uzaktaki bir saldırganın kullanıcıyı, kullanıcının tarayıcısında rasgele JavaScript kodu çalıştırabilecek hazırlanmış bir bağlantıyı tıklamaya ikna etmesine olanak verebilir.

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1) Ayrıntıları

  • 4 Temel Puan, 5.2 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı.

CVSS Vektor: #CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C

Ek Notlar;

Bu yama, ArcGIS Enterprise’ın şu anda desteklenen sürümlerinde (10.6, 10.6.1, 10.7.1, 10.8, 10.8.1 ve 10.9) çalışan tüm müşteriler için şiddetle tavsiye edilmektedir.

Hem müşteriler hem de Esri için yama sürecini kolaylaştırmaya yardımcı olacak yeni bir yaklaşım olarak bu yama, ArcGIS Enterprise’ın Portal for ArcGIS bileşeninin gelecekteki yamaları için bir ön koşul olacaktır. Sonuç olarak, bu yama Windows sistemlerine uygulandıktan sonra kaldırılamaz. Yama Linux sistemlerinde kaldırılabilse de, gelecekte yamaların istendiği durumlarda tekrar yüklenmesi gerekecektir.

Bu, aynı zamanda, bu yamanın, daha önce bireysel sürümler için oluşturulmuş ve yayınlanmış tüm düzeltmelerin ve yamaların toplamı olduğu anlamına gelir.

Bu yeni yama ile kullanımdan kaldırılan eski yamalar artık yama bildirim aracında görünmeyecektir. Bazı eski Portal for ArcGIS yamaları, bu yamalar içinde toplanmadıkları ve dolayısıyla ayrı olarak kurulmaları gerektiği durumlarda listelenmeye devam edecektir.

Detaylı bilgi için Esri Türkiye Profesyonel Hizmetler birimi ile irtibata geçiniz.

Esri Türkiye 2021

ArcGIS Enterprise 10.8 Yazılım ve Yama Güncelleme Kontrolü – Kurulumu (Windows)

 

Esri periyodik olarak ArcGIS Enterprise dahil bütün ArcGIS yazılım ve bileşenleri için yama ve güncelleme yayınlar. Her güncelleme e-posta ile bildirilir ve Esri destek web sitesinden duyurulur. Ayrıca güncelleme kontrollerini patchnotification aracı ile gerçekleştirebilirsiniz.

Bu araç makinede kurulu olan ArcGIS Enterprise bileşenleri, rolleri ve eklentileri ile ilgili güncelleme raporlar. Ayrıca kurulmuş yamalar hakkında bilgi verir.

Bu aracı kullanarak yazılımlar için gereken yama ve güncelleme paketlerini seçiminize göre kurup yükleyebilirsiniz.

Not: Bu araç konsol modunda seçim yapılarak kurulumu desteklemez.

Bu aşamaları aşağıdaki gibi yapabilirsiniz.

  • ArcGIS Server sunucusunda oturum açınız.
  • Windows menüsünüden “Başlat >> Bütün Programlar >> ArcGIS >> ArcGIS Server >> Check for ArcGIS Enterprise Updates” üzerinden erişebilirsiniz. Alternatif olarak ArcGIS Server kurulu dizinde (<ArcGIS Server Kurulum Dizini>\tools\patchnotification ) bat  dosyasını bulabilirsiniz.  “-c” parametresiyle konsol üzerinden çalıştırabilirsiniz. Bu işlemleri yönetici yetkisi ile yaptığınızdan emin olun.

  • Güncelleme bilgilerini görüntüleyip ilgili linke tıklayarak indirip kurulum gerçekleştirebilirsiniz.
  • Ayrıca konsol ile çalıştırırken “-i sec” parametresi ile sadece güvenlik yamalarını kurabilirsiniz. Bütün güncellemeleri indirmek ve kurmak için “-i all” paramatresini kullanabilirsiniz.

  • Varsayılan indirme dizini “İndirilenler” dizin olarak tanımlıdır Bunu ayarlar sekmesinden değiştirebilirsiniz. Ayrıca -d paramatresi devamına belirteceğiniz dizin ile belirli bir dizine indirme tanımlayabilirsiniz.

  • İndirme ve kurulum işlemi gerçekleştikten sonra silinmesi için kurulum tamamlantıktan silinmesi için menüden “Delete patch folder” seçeneğinen Always delete after successful installs” seçerek kurulumu yapabilirsiniz. Ayrıca “-o always” parametresi ile komut satırından bu işlemleri gerçekleştirebilirsiniz.

 

Özel çözümler ve profesyonel destek için Esri Türkiye Profesyonel Hizmet birimi ile iletişim kurabilirsiniz.

ArcMap’ten Portal for ArcGIS İçeriğine Erişim

ArcMap’ten Portal for ArcGIS İçeriğine Erişim

ArcGIS Pro masaüstü yazılımı bütünleşik olarak Portal for ArcGIS ile çalışabilirken, ArcMap masaüstü yazılımı kullanılarak Portal for ArcGIS içerisindeki içeriğe erişim, iki yöntem ile sağlanmaktadır:

  • Portal bağlantısı kurularak
  • ArcGIS Server bağlantısı oluşturarak

1.      Portal Bağlantısı Kurularak

Organizasyonunuza ait portal’a erişim için aşağıdaki adımları uygulayınız:

1- Windows Başlat menüsü içerisinden “ArcGIS->ArcGIS Administrator” uygulaması çalıştırılır.

2- Açılan “ArcGIS Administrator” uygulama içerisinden “Advanced” düğmesine basılır.

3- Ekrandaki “Manage Portal Connections” düğmesine basılır.

4-Açılan ekrandan “Add” düğmesine basılarak, Portal for ArcGIS’e erişim URL’si girilir. URL bilgisini teknik personelden elde edebilirsiniz.

Listeden yeni girilen URL bağlantısı seçilir ve “Connect” düğmesine basılır. Bağlantı bilgileri doğru ise ekran kapatılır. “Save” düğmesine basılır. “ArcGIS Administrator” ana ekranında “Ok” düğmesine basılır.

5- ArcMap uygulaması açılır. Üst kısımdan araç menülerinden “Add Data” menü düğmesine basılır ve açılan listeden “Add Data From ArcGIS Online…” menü parçası seçilir.

6- Açılan ekranda sağ kısımdaki “Sign in” linkine tıklanır. Kullanıcı bilgileri girilir ve kullanıcıya ait katman bilgileri görüntülenir. Eklenmek istenen katman seçilir ve “Add” düğmesine basılır. ArcMap içerisinde görüntülenir.

2.      ArcGIS Server Bağlantısı Oluşturarak

Portal for ArcGIS içerisinde oluşturulan katmanlara ait servisler ArcGIS Server tarafından konumlandırılır. Bu sebeple ArcGIS Server’e bağlantı kurulduğunda, Portal for ArcGIS içerisinde kullanıcının oluşturduğu katmanlara da erişim sağlanır.

1- Öncelikle ArcMap içerisinden “Add ArcGIS Server” seçilir.

2- Açılan ekrandan “Use GIS services” seçeneği seçilir ve “Next” düğmesine basılır.

3-Gösterimi yapılan ekranda ArcGIS Server bağlantı ve yetkilendirme bilgileri girilir. “Finish” düğmesine basıldığında bilgiler doğru ise, “Catalog” panelinde yeni bir ArcGIS Server bağlantısı oluşturulacaktır.

4- “Catalog” panelinde oluşturulan ArcGIS Server bağlantısı içerisinden gösterimi yapılmak istenen katman bulunur ve haritaya eklenir.

Özel çözümler ve profesyonel destek için Esri Türkiye Profesyonel Hizmet birimi ile iletişim kurabilirsiniz.

ArcGIS Enterprise Portal Güvenlik Bilgilendirmesi – Portal for ArcGIS Security 2020 Upgrade Patch 1 Yayınlandı

ArcGIS Enterprise Portal bileşeninde kritik bir Sunucu Taraflı İstek Sahteciliği (SSRF) sistem açığı tespit edildi.

Bu güvenlik sorunundan ArcGIS Enterprise 10.8’den eski tüm Windows ve Linux versiyonları etkilenmektedir. Buna yanıt olarak Esri, ArcGIS Enterprise’ın 10.5’ten 10.7.1’e kadar mevcut tüm versiyonları için Portal for ArcGIS Security 2020 Update 1 Patch adlı yamayı yayınlamıştır. ArcGIS Enterprise 10.8 bu durumdan etkilenmemektedir. ArcGIS Enterprise 10.3.x ve 10.4.x versiyonları vadesi gelmiş destek durumundadır. Esri, emekli olmuş (retired) ya da vadesi gelmiş (mature) durumda olan versiyonlar için yama desteği sunmamaktadır. Daha fazla bilgi için Esri Ürün Ömrü Politikası’nı inceleyebilirsiniz.

 Amazon Web Services’de (AWS) bu sorunu özellikle bu dağıtımlar için acil hale getiren bilinen kötüye kullanım vektörleri bulunmaktadır, ancak diğer bulut ortamlarında çalışan müşteriler kendi bulut sağlayıcısının spesifik özelliklerine bağlı olarak etkilenebilir. ArcGIS Enterprise’ın hangi ortamda kurulu olduğuna bakmaksızın Esri, her zaman tüm ArcGIS Enterprise yazılımları için en güncel yamaların kurulmasını önermektedir.

Esri, tüm ArcGIS Enterprise yöneticilerine bu yamayı ArcGIS Enterprise Patch Notification aracını kullanarak kurmalarını ya da https://support.esri.com/en/download/7777 adresinden kendilerine uygun olan yamayı bularak indirmelerini tavsiye eder.

Bu konu ile ilgili sonraki güncellemeler ve diğer güvenlik ile ilgili konular için trust.arcgis.com RSS Feed’ine abone olabilirsiniz.

Portal for ArcGIS Security 2019 Update 2 yaması kullanıma sunuldu

Portal for ArcGIS Security 2019 Update 2 yaması kullanıma sunuldu

Esri; Portal for ArcGIS Security 2019 Update 2 isimli bir güncelleme yayınladı. Bu güvenlik güncellemesi; ArcGIS Enterprise mimarinizdeki Portal for ArcGIS bileşeni için çeşitli güvenlik açıklarını gidermek amacıyla yayınlanmıştır. Yayınlanan bu güncelleme kümülatif bir güncelleme olduğundan dolayı, daha önceden yayınlanmış olan güvenlikle ilgili bazı güncellemelerle birlikte, güvenlikle ilgili olmayan çeşitli güncellemeleri de içerir. Portal for ArcGIS Security 2019 Update 2 güncellemesiyle birlikte ele alınan ve düzeltilen sorunların tam listesine buradan ulaşabilirsiniz.

Esri; Portal for ArcGIS 10.7.1, 10.6.1, 10.5.1, ve 10.4.1 kullanan tüm kullanıcılarının Portal for ArcGIS Security 2019 Update 2 yamasını uygulamasını tavsiye etmektedir. Güncelleme hakkındaki detayları incelemek ve indirmek için https://support.esri.com/en/download/7749 bağlantısından Portal for ArcGIS Security 2019 Update 2 Patch sayfasına ulaşabilirsiniz.

Esri Türkiye 2019 ©