Esri 发布了 Portal for ArcGIS Security 2021 Update 1 补丁,该补丁解决了最近在 10.9、10.8.1、10.8、10.7.1、10.6.1 和 10.6 版本中发现的许多漏洞。与所有安全补丁一样,我们鼓励所有系统管理员尽早在相关系统上安装安全更新。
Portal for ArcGIS Security 2021 Update 1 补丁 解决了一个高严重性漏洞和两个中等严重性漏洞。
为了使他们能够更好地评估此漏洞的风险,我们提供了通用漏洞评分系统 (CVSS) 分数。提供基本分数和修改后的时间分数来反映官方补丁的可用性。
有关这些指标定义的更多信息请参阅通用漏洞评分系统
Esri Portal for ArcGIS 10.9 及更早版本中的组织特定 亚洲手机号码清单 录中存在权限提升漏洞,可能允许经过身份验证的远程攻击者冒充其他帐户。
通用漏洞评分系统 (CVSS v3.1) 详情
8个基本点,8.4个暂定点
修正级别:官方修正可用
信任声明:已获得 Esri 批准。
缓解因素
遵循 ArcGIS 组织特定登录常见问题解答中记录的 SAML 特定安全最佳实践
暂时禁用组织特定登录(不推荐)
Esri Portal for ArcGIS 10.9 及更早版本中存在一个反映型 跨站点脚本 (XSS)漏洞,远程攻击者可以利用该漏洞诱骗用户点击精心设计的链接,从而在用户的浏览器中执行任意 JavaScript 代码。
通用漏洞评分系统 (CVSS v3.1) 详情
1分基本成绩,5.8分暂定成绩
修正级别:官方修正可用
信任声明:已获得 Esri 批准。
漏洞详情
跨站脚本 (XXS) CWE-79 – CVSS 5.8
Esri Portal for ArcGIS 10.9 及更低版本中存在存 您始终可以在所用浏览器的 储型跨站点脚本 (XSS)漏洞,远程攻击者可利用该漏洞诱骗用户点击精心设计的链接,从而在用户浏览器中执行任 印度尼西亚号码列表 意 JavaScript 代码。
通用漏洞评分系统 (CVSS v3.1) 详情
4 基本点,5.2 暂定点
修正级别:官方修正可用
信任声明:已获得 Esri 批准。
附加说明;
强烈建议所有运行当前支持的 ArcGIS Enterprise 版本(10.6、10.6.1、10.7.1、10.8、10.8.1 和 10.9)的客户安装此修补程序。
作为帮助简化客户和 Esri 修补过程的新方法,此修补程序将成为 ArcGIS Enterprise 的 Portal for ArcGIS 组件未来修补程序的先决条件。因此,一旦将此补丁应用到 Windows 系统,就无法删除。虽然可以在 Linux 系统上删除该补丁,但如果将来需要补丁,则需要重新安装。