Le blog francophone consacré
aux technologies Esri

Patch de sécurité important pour ArcGIS Server

Dans le cadre de sa veille constante autour de la sécurité de ses solutions, Esri a découvert une vulnérabilité potentiellement critique dans ArcGIS Enterprise/ArcGIS Server pouvant provoquer une validation incorrecte du contrôle d'accès lorsque des requêtes spécialement conçues pour cela sont envoyées au serveur. Il en résulte que des services sécurisés et leurs données peuvent potentiellement être exposés à des utilisateurs alors qu'ils ne devraient pas y avoir accès.
  
    
Dès aujourd'hui, un patch de sécurité a été mis en ligne pour l'ensemble des version actuellement supportées (de la version 10.2.1 à 10.6) sur les plateformes Windows et Linux. Bien que l'exploitation de cette faille n'ai pas été constatée à ce jour, Esri recommande vivement à l'ensemble des administrateurs de sites ArcGIS Enterprise/ArcGIS Server d'appliquer ce patch dans les délais les plus brefs pour minimiser tout risque. 

A noter:

  • A la différence des patches de sécurité ArcGIS habituels, ce patch n'est pas cumulatif. Idéalement, il convient d'appliquer les patches déjà existants avant d'installer ce patch mais cela n'est pas un pré-requis. Pour vous aider à lister les patches déjà installer/non-installer vous pouvez exécuter l'utilitaire "Patch Notification Utility".
     
  • Cette vulnérabilité concerne à la fois les déploiements d'ArcGIS Server en mode "standalone" ou en mode "fédéré". Cette dernière sera corrigée dans la version 10.6.1 (juin/juillet 2018).
     
  • L'utilisation d'un WAF (Web Application Firewall) en mode "protected" ou l'utilisation du Web Adaptor sur IIS  (et non pas le Web Adaptor sur une plateforme Java) peut réduire cette vulnérabilité mais ne constitue pas une solution définitive sans l'installation de ce patch.
     
  • Les détails et le patch lui-même sont accessibles depuis cette page



Partager cet article:

Rejoindre la discussion

    Les commentaires à propos de cet article: