Vulnérabilité critique dans Portal for ArcGIS
Une vulnérabilité critique vient d'être identifiée dans le composant Portal for ArcGIS d'ArcGIS Enterprise. Celle-ci permet, par enchainement d'actions particulières, à un utilisateur authentifié avec un profil "non-administrateur" de s'élever en tant qu'administrateur du portail. Les versions 10.3 et supérieures de Portal for ArcGIS 10.3 sont impactées.
Il s'agit d'une vulnérabilité critique, et bien que son exploitation ne soit largement connue des utilisateurs, Esri encourage vivement tous les administrateurs d'ArcGIS Enterprise à appliquer le correctif mis en ligne par Esri dans les délais les plus brefs afin de minimiser les risques. Si vous n'utilisez pas la dernière mise à jour de votre version (par exemple 10.5 et non pas 10.5.1) Esri a fourni un correctif pour les versions majeure non mises à jours. Cependant recommande de passer la mise à jour la plus récente (10.5.1 pour la 10.5) afin de pouvoir appliquer l'ensemble des correctifs de sécurité disponibles pour la version de votre ArcGIS Enterprise.
Les correctifs de sécurité cumulatifs et non cumulatifs sont disponibles ici:
- La mise à jour "Portal for ArcGIS Security 2018 Update 3 Patch" est disponible pour les versions 10.6.1, 10.5.1, 10.4.1 et 10.3.1 et constitue un correctif de sécurité cumulatif pour tous les problèmes disponibles pour la version de Portal.
- Le correctif de sécurité "Portal for ArcGIS Escalation Privilege Security" est disponible pour les versions 10.6, 10.5, 10.4 et 10.3. Ce patch n'est pas cumulatif, il inclut uniquement le correctif pour ce problème spécifique.
Un résumé du problème est disponible ici.
0 comments :
Enregistrer un commentaire