Bản vá bảo mật thứ nhất trong năm 2023 cho Portal for ArcGIS

Esri đã phát hành bản vá bảo mật lần thứ nhất năm 2023 cho sản phẩm Portal for ArcGIS - nhằm ngăn chặn các nguy cơ bảo mật cao và trung bình. Ứng dụng cho các phiên bản 11.0, 10.9.1, 10.8.1 và 10.7.1.

Bản vá này được phát hành vào ngày 17 tháng 4 năm 2023 và có thể tải về  tại đây .

Chi tiết về các vấn đề được khắc phục xem thêm tại: https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/portal-for-arcgis-security-2023-update-1-patch-is-now-available

Điểm nổi bật chính :

  • Bản vá cập nhật thứ nhất Portal for ArcGIS Security 2023 hiện có sẵn cho các phiên bản 11.0, 10.9,1 10.8.1 và 10.7.1.
  • Quản trị viên hệ thống: hãy dành thời gian cài đặt bản vá này ngay khi có cơ hội sớm nhất để giải quyết các lỗ hổng này.

Các lỗ hổng được khắc phục trong bản vá này

  • CWE-601: URL Redirection to Untrusted Site (‘Open Redirect’)

Lỗ hổng chuyển hướng chưa được xác thực trong  Portal for ArcGIS 11.0 và 10.9.1. Lỗ hổng này có thể cho phép kẻ tấn công từ xa, không được xác thực tạo một URL có thể chuyển hướng nạn nhân đến một trang web tùy ý, giúp đơn giản hóa các cuộc tấn công lừa đảo.

BUG-000155001

  • CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
  • Credit : Theologos Kokkinellis

Lỗ hổng XSS được phản ánh trong Portal for ArcGIS phiên bản 10.9.1, 10.8.1 và 10.7.1. Lỗ hổng này có thể cho phép kẻ tấn công từ xa, không được xác thực tạo một liên kết thủ công mà khi được nhấp vào có khả năng thực thi mã JavaScript tùy ý trong trình duyệt của nạn nhân.

  • Mitigation: Leverage a WAF to filter JavaScript from URL query parameters

BUG-000154662

  • CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)

Lỗ hổng XSS được phản ánh trong Portal for ArcGIS phiên bản 10.9.1, 10.8.1 và 10.7.1. Lỗ hổng này có thể cho phép kẻ tấn công từ xa, không được xác thực tạo một liên kết thủ công mà khi được nhấp vào có khả năng thực thi mã JavaScript tùy ý trong trình duyệt của nạn nhân.

  • Mitigation: Leverage a WAF to filter JavaScript from URL query parameters.

BUG-000154236

  • CWE-352: Cross-Site Request Forgery (CSRF)

Lỗ hổng giả mạo yêu cầu trên nhiều trang web trong Portal for ArcGIS Phiên bản 11.0 trở xuống có thể cho phép kẻ tấn công lừa người dùng được ủy quyền thực hiện các hành động không mong muốn. Lỗ hổng này không ảnh hưởng đến các tài nguyên yêu cầu quyền truy cập quản trị, vì có các biện pháp bảo vệ riêng trong Portal for ArcGIS Administrator API để ngăn chặn các sự cố tương tự.

  • Mitigation: Disable the Portal for ArcGIS Services Directory per best practices

BUG-000148346

  • CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)

Lỗ hổng HTML injection trong Portal for ArcGIS phiên bản 11.0 trở xuống có thể cho phép kẻ tấn công từ xa, không được xác thực tạo một liên kết thủ công mà khi được nhấp vào có thể hiển thị HTML tùy ý trong trình duyệt của nạn nhân.

  • Mitigation: Disable the Portal for ArcGIS Services Directory per best practices
  • Credit: Andrew Salazar

BUG-000155004

  • CWE-269: Improper Privilege Management

Các thay đổi đối với quyền của người dùng trong Cổng thông tin dành cho ArcGIS 10.9.1 trở xuống không được áp dụng đầy đủ trong các trường hợp sử dụng cụ thể. Sự cố này có thể cho phép người dùng truy cập nội dung mà họ không còn được phép truy cập nữa.

BUG-000142922