ArcGIS Server Security 2021 Güncelleme 2 Yaması

 

Esri, ArcGIS Server Security 2021 Güncelleme 2 Yamasını yayınladı. Bu yama, 10.9, 10.8.1, 10.7.1 ve 10.6.1 sürümlerinde yakın zamanda tespit edilen dört güvenlik açığını giderir. Tüm güvenlik yamalarında olduğu gibi, tüm sistem yöneticilerini ilk fırsatta ilgili sistemlere güvenlik güncellemelerini yüklemelerini tavsiye ediyoruz.

Bu yamada bir yüksek önem derecesine sahip güvenlik açığı ve üç orta önem düzeyine sahip güvenlik açığı ele alınmaktadır.

Müşterilerimizin operasyonlarındaki bu güvenlik açığı riskini daha iyi değerlendirmelerini sağlamak için Common Vulnerability Scoring System (CVSS) puanları sağlıyoruz. Resmi bir yamanın kullanılabilirliğini yansıtmak için hem temel puan hem de değiştirilmiş zamansal puan sağlanmıştır. Bu metriklerin tanımı hakkında daha fazla bilgi için lütfen Common Vulnerability Scoring System bakın.

Bu yamada düzeltilen güvenlik açıkları şunları içerir:

Esri, ArcGIS Server 10.9 ve önceki sürümler tarafından sağlanan özellik hizmetlerindeki bir SQL enjeksiyon güvenlik açığı, uzak, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış sorgular aracılığıyla hedeflenen hizmetlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini etkilemesine olanak tanır.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 3 Temel Puan, 6.0 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – SQL Enjeksiyonu (SQLi) CWE-89 – CVSS 6.0

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 1 Temel Puan, 5.2 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 5.2

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

  • 3 Temel Puan, 4.1 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Bilgiye Maruz Kalma CWE-200 – CVSS 4.1

Hafifletici önlemler:

Bu sorunu hafifletmeye yönelik seçenekler arasında barındırılan özellik hizmetinin ve oluşturulan herhangi bir barındırılan özellik hizmeti görünümlerinin güvenliğinin sağlanması yer alır.

ArcGIS Server yardım belgelerindeki bir uzak dosya ekleme güvenlik açığı, uzaktaki, kimliği doğrulanmamış bir saldırganın, saldırgan tarafından sağlanan html içeren bir sayfaya enjekte etmesine izin verebilir.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 7 Temel Puan, 3.3 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O

Güvenlik Açığı Ayrıntıları

CVE Çok Yakında – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 3.3

Hafifletici önlemler:

Yardım belgeleri web katmanında güvence altına alınabilir. Aşağıdaki linkten inceleyebilirsiniz.

https://community.esri.com/t5/esri-software-security-privacy-blog/bg-p/esri-software-security-and-privacy-blog/page/2

ArcGIS Enterprise 10.8 Yazılım ve Yama Güncelleme Kontrolü – Kurulumu (Windows)

 

Esri periyodik olarak ArcGIS Enterprise dahil bütün ArcGIS yazılım ve bileşenleri için yama ve güncelleme yayınlar. Her güncelleme e-posta ile bildirilir ve Esri destek web sitesinden duyurulur. Ayrıca güncelleme kontrollerini patchnotification aracı ile gerçekleştirebilirsiniz.

Bu araç makinede kurulu olan ArcGIS Enterprise bileşenleri, rolleri ve eklentileri ile ilgili güncelleme raporlar. Ayrıca kurulmuş yamalar hakkında bilgi verir.

Bu aracı kullanarak yazılımlar için gereken yama ve güncelleme paketlerini seçiminize göre kurup yükleyebilirsiniz.

Not: Bu araç konsol modunda seçim yapılarak kurulumu desteklemez.

Bu aşamaları aşağıdaki gibi yapabilirsiniz.

  • ArcGIS Server sunucusunda oturum açınız.
  • Windows menüsünüden “Başlat >> Bütün Programlar >> ArcGIS >> ArcGIS Server >> Check for ArcGIS Enterprise Updates” üzerinden erişebilirsiniz. Alternatif olarak ArcGIS Server kurulu dizinde (<ArcGIS Server Kurulum Dizini>\tools\patchnotification ) bat  dosyasını bulabilirsiniz.  “-c” parametresiyle konsol üzerinden çalıştırabilirsiniz. Bu işlemleri yönetici yetkisi ile yaptığınızdan emin olun.

  • Güncelleme bilgilerini görüntüleyip ilgili linke tıklayarak indirip kurulum gerçekleştirebilirsiniz.
  • Ayrıca konsol ile çalıştırırken “-i sec” parametresi ile sadece güvenlik yamalarını kurabilirsiniz. Bütün güncellemeleri indirmek ve kurmak için “-i all” paramatresini kullanabilirsiniz.

  • Varsayılan indirme dizini “İndirilenler” dizin olarak tanımlıdır Bunu ayarlar sekmesinden değiştirebilirsiniz. Ayrıca -d paramatresi devamına belirteceğiniz dizin ile belirli bir dizine indirme tanımlayabilirsiniz.

  • İndirme ve kurulum işlemi gerçekleştikten sonra silinmesi için kurulum tamamlantıktan silinmesi için menüden “Delete patch folder” seçeneğinen Always delete after successful installs” seçerek kurulumu yapabilirsiniz. Ayrıca “-o always” parametresi ile komut satırından bu işlemleri gerçekleştirebilirsiniz.

 

Özel çözümler ve profesyonel destek için Esri Türkiye Profesyonel Hizmet birimi ile iletişim kurabilirsiniz.

Nasıl Yapılır: ArcGIS Enterprise Güncellemelerinin Yüklenmesi

Her program gelişen teknolojiye ayak uydurmak için ya da mevcut versiyonda fark edilen eksikliklerin giderilmesi için kullanıcılarına versiyon güncellemeleri ya da yamalar sunar. Esri, mümkün oldukça versiyon güncellemeyi önermektedir. Versiyon güncellemenin mümkün olmadığı durumlarda ise yazılım yamalarının kurulmasını teşvik eder.

Windows işletim sistemine sahip makinenizde yüklü olan ArcGIS ürünlerini görüntülemek için PatchFinder aracını kullanabilirsiniz. Yüklü olan ArcGIS yamalarını görüntülemek için ise Control Panel (Denetim Masası) > Programs and Features (Programlar ve Özellikler) > View installed updates (Yüklü güncelleştirmeler) yolunu kullanabilirsiniz.

ArcGIS Enterpise’dan sorumlu yöneticiler Esri’nin zaman zaman yayınladığı yazılım yamalarını bileşenler için kontrol etmeli ve yüklemelidir. Bu yamalardan bazıları güvenlik yamaları gibi herkesin yüklemesi önerilen kritik seviyedeki yamalar olabilirken, bazı yamalar ise sadece spesifik özellik ya da uygulamalar için isteğe bağlı olarak sunulmaktadır. Esri’nin ArcGIS Enterprise için yayınladığı bu yamaları 3 farklı şekilde yükleyebilirsiniz.

  1. Esri Destek sitesinden istediğiniz ürünlere ait yamaların özellikleri ile ilgili detaylı bilgi alabilir ve sonrasında yüklemek istediklerinizi indirebilirsiniz.

 

2. Bu yamaları ArcGIS Enterprise bileşenlerinin kurulu olduğu her makinede yüklü olan “Check for ArcGIS Enterprise Updates” adlı araç ile inceleyebilir ve yine istediğiniz yamaları seçerek yükleyebilirsiniz. Aracı çalıştırmak için Windows işletim sistemine sahip ArcGIS Enterprise kurulu olan makinenizde Başlat kısmına “Check for ArcGIS Enterprise Updates” yazmanız ve karşınıza çıkan program adına tıklamanız yeterli. Araç açıldıktan sonra ilgili yamaların yanında bulunan indirme işaretlerine tıklayarak istediğiniz yamaları indirebilirsiniz. Tüm yamaları indirmek için ise aşağıda bulunan butonları kullanabilirsiniz.

 

3. Ya da ArcGIS Enterprise 10.6 sonrası versiyonlarda “ArcGIS Enterprise Check for Updates” aracını komut satırından sessiz olarak çalıştırarak arkanıza yaslanıp yamaların kendiliğinden yüklenmesini izleyebilirsiniz.

Yazacağımız komut “<ArcGIS Server kurulum dizini>\tools\patchnotification -c -o -i all” komutuna benzer olacaktır. Bu komut için kullanılan parametreler şu şekildedir:

“-c” ile aracı konsol modunda başlatabilirsiniz.

“-i sec” ile sadece güvenlik yamalarını indirebilirsiniz

“-i all” ile tüm yamaları indirebilirsiniz

“-d” ile indirme konumunu belirleyebilirsiniz

“-o always” ile yamaların indirildiği dosyayı kurulum sonrasında silebilirsiniz

Not: Komut satırını yönetici olarak başlatmayı unutmayınız.

 

Yukarıdaki görselde gördüğünüz üzere sadece güvenlik güncellemelerini komut ile yükleme işlemini başlattık. İşlem tamamlandıktan sonra yazımızın ilk kısmında bahsettiğimiz PatchFinder aracını kullanarak ya da “Yüklü güncelleştirmeler” yolundan işlemin başarılı olup olmadığını kontrol edebilirsiniz.

Bu yazımızda ArcGIS Enterprise’ı 3 farklı şekilde nasıl güncelleyeceğinize değindik. ArcGIS Enterprise güncellemelerinizi otomatikleştirmek için “Nasıl Yapılır: ArcGIS Enterprise Güncellemelerini Otomatikleştirme” blog yazımızı inceleyebilirsiniz.

Esri Türkiye 2020