Le blog francophone consacré
aux technologies Esri

Correctif de sécurité pour ArcGIS Server

  
Dans le cadre de sa veille constante autour de la sécurité de ses solutions, Esri a découvert une vulnérabilité potentiellement critique dans le composant "ArcGIS Server" d'ArcGIS Enterprise, entraînant un problème de falsification des requêtes côté serveur (SSRF) lorsque des actions spécifiques sont réalisées par une personne disposant d'un accès réseau au déploiement d’ArcGIS Enterprise. Cela peut entraîner l'accès et le contrôle d'autres ressources de l'infrastructure par des personnes non autorisées. 
  
La faille détectée peut affecter tout déploiement selon l'infrastructure et la configuration mise en place. Par conséquent, tous les clients sont invités à installer le correctif approprié dès que possible. Il existe notamment des vecteurs d'exploitation connus dans Amazon Web Services (AWS), ce qui rend ce problème particulièrement urgent pour ce type de déploiement.
  
Ce correctif de sécurité concerne toutes les versions supportées avant ArcGIS Server 10.8 sur Windows et Linux. En tant que client ArcGIS Enterprise, au delà de cet article, vous serez informé très rapidement par mail de cette vulnérabilité de sécurité en plus des notifications en ligne régulières que vous trouvez sur les blogs Esri et sur le site de sécurité trust.arcgis.com.
  
  
Qu’avez-vous besoin de faire ?

Des correctifs pour toutes les versions d'ArcGIS Server de la version 10.4 à la version 10.7.1 ont été publiés. Ce correctif corrige également d’autres erreurs dans ces versions. Esri recommande fortement d'installer le correctif correspondant dès que possible. ArcGIS Server 10.8 contient déjà ces correctifs et n'est pas affecté. Les clients exécutant ArcGIS Server 10.3.1 ou une version antérieure doivent effectuer une mise à niveau dès que possible. Ces versions étant en support mature, elles ne reçoivent plus de mises à jour de sécurité et sont à risque par rapport à cette vulnérabilité ainsi que d'autres problèmes.

Pour mémoire, tous les correctifs peuvent être téléchargés à partir du site Web du support Esri où plus d'informations sont également disponibles.

Le correctif ArcGIS Server Security 2020 Update 1 est disponible pour les versions 10.4, 10.4.1, 10.5, 10.5.1, 10.6, 10.6.1, 10.7 et 10.7.1.
  
Vous pouvez également utiliser l'outil de notification de patch pour télécharger et installer le patch approprié. Vous consulterez la documentation du logiciel pour savoir comment utiliser cet outil. Assurez-vous que le correctif est installé sur toutes les machines ArcGIS Server.
   
   
Plus d'informations

Pour plus de détails, vous pouvez vous référer à cet l’article sur le site du support.

Esri vous encourage également à vous abonner au flux RSS sur trust.arcgis.com pour les futures mises à jour sur ce problème et d'autres problèmes liés à la sécurité.
  

Partager cet article:

Rejoindre la discussion

    Les commentaires à propos de cet article: