Le blog francophone consacré
aux technologies Esri

Correctif de sécurité pour le portail ArcGIS Enterprise


Dans le cadre de sa veille constante autour de la sécurité de ses solutions, Esri a découvert une vulnérabilité potentiellement critique dans le composant "Portail" d'ArcGIS Enterprise, entraînant un problème de falsification des requêtes côté serveur (SSRF) lorsque des actions spécifiques sont réalisées par une personne disposant d'un accès réseau au déploiement d’ArcGIS Enterprise. Cela peut entraîner l'accès et le contrôle d'autres ressources de l'infrastructure par des personnes non autorisées. 

Toutes les versions antérieures à ArcGIS Enterprise 10.8 sur Windows et Linux sont affectées par ce problème de sécurité. En réponse, Esri a publié le correctif Portal for ArcGIS Security 2020 Update 1 pour toutes les versions actuellement supportées d'ArcGIS Enterprise, de la version 10.5 à la version 10.7.1. ArcGIS Enterprise 10.8 n'est pas concerné par ce problème. ArcGIS 10.3.x et 10.4.x sont à l'état de support mature. Esri ne crée pas de correctifs pour les produits dans les phases de support matures ou retirées; vous trouverez plus d'informations à ce sujet dans la politique de cycle de vie des produits Esri.

Il existe un vecteur d'exploitation connu et spécifique aux déploiements exécutés sur l'infrastructure Amazon Web Services (AWS), cependant les clients exécutant ArcGIS Enterprise dans d'autres environnements Cloud peuvent également être affectés en fonction des spécificités du fournisseur de Cloud. Quel que soit le lieu d'exécution d'ArcGIS Enterprise, Esri recommande toujours d'installer les derniers correctifs sur tous les composant ArcGIS Enterprise concernés.

Esri recommande fortement à tous les administrateurs ArcGIS Enterprise d'installer ce correctif en utilisant l'outil "Notification de correctif" installé par défaut sur toutes les machines ArcGIS Enterprise. Vous pouvez également télécharger ou le correctif approprié pour votre site ArcGIS Enterprise à partir de cette page.

Pour suivre les sujets liés à la sécusrité des composants du système ArcGIS, assurez-vous de vous abonner au flux RSS du site ArcGIS Trust Center pour recevoir des notifications concernant les tendances et les problèmes liés à la sécurité qui peuvent potentiellement affecter le système ArcGIS.

Je vous remets ci-dessous les liens à retenir pour les aspects de sécurité spécifiques à ArcGIS Enterprise:
   

Partager cet article:

Rejoindre la discussion

    Les commentaires à propos de cet article:

3 comments :

Bruno IRATCHET a dit…

Bonsoir,
A ce jour (16/06/2020), l'installation de ce patch de 15 Mo ne permet plus d'exploiter le portail de production d'un bon client (d'ESRI), qui ne semble pas être le seul. Et en l'absence d'une procédure de désinstallation, le support doit chauffer ;)
Bruno

Gaëtan Lavenu a dit…

Bonjour,

A ma connaissance aucun problème particulier n'a été signalé sur l'installation de ce patch. Avez-vous contacté le support technique d'Esri France ?

Bruno IRATCHET a dit…

Bonjour,
Oui, le support d'ESRI France est dans la boucle, mais peut-être est-ce en attente du support d'ESRI Inc.
Bruno