В предыдущей статье мы уже писали о новых функциях, исправлениях и прочих удобствах, которые вы получаете при оплате технической поддержке и обновлении ПО.
В этом материале остановимся на еще одном аспекте установки или не-установки обновлений, который может не привести или привести к неприятностям с СБ. Вам повезло, если вы пока не знакомы с расшифровкой этого сокращения, но все равно прочитать эту статью вам тоже будет полезно.
Итак, ситуация: в организации на сервере установлены ArcGIS for Server 10.3.1, Portal for ArcGIS 10.3.1 и ArcGIS for Desktop 10.3.1. По результатам проверки данного сервера внутренней СБ администратору было выдано предписание устранить найденные уязвимости:
| Местоположение файла |
Уязвимость |
Версия ПО |
Критич-ность |
Описание уязвимости |
| PostgreSQL — 9.2.4 — C:\Program Files\ArcGIS\Portal\framework\ runtime\pgsql_9.2.4\bin\psql.exe | CVE-2016-0766 | 9,0 | Высокий уровень | Повышение привилегий |
| PostgreSQL — 9.3.4 — C:\Program Files\ArcGIS\Portal\framework\ runtime\pgsql\bin\psql.exe | CVE-2016-0766 | 9,0 | Высокий уровень | Повышение привилегий |
| JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe | CVE-2013-5907 | 10,0 | Высокий уровень | Уязвимость Oracle Java |
| JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe | CVE-2013-2464 | 10,0 | Высокий уровень | Уязвимость в JRE |
| JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe | CVE-2016-3443 | 10,0 | Высокий уровень | Уязвимость в Oracle Java SE |
| JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe | CVE-2016-5556 | 9,3 | Высокий уровень | Уязвимость в Java SE (2D) |
| JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe | CVE-2016-5582 | 9,3 | Высокий уровень | Уязвимость в Java SE (Hotspot) |
| JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe | CVE-2016-5568 | 9,3 | Высокий уровень | Уязвимость в Oracle Java SE (AWT) |
| JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe | CVE-2015-8126 | 7,5 | Высокий уровень | Переполнение буфера |
Все наши доводы, что указанные уязвимости можно использовать только в случае доступа к файловой системе сервера ни к чему не привели. При этом почему-то СБ не обратила внимание на большое количество уязвимостей, которые были исправлены в трех (!) выпущенных ArcGIS for Server 10.3.1 Security 2017 Patch и трех (!) Portal for ArcGIS 10.3.1 Security 2017 Patch.
Надо отметить, что на данном сервере не стояло ни одного из указанных обновлений, соответственно, все уязвимости, закрытые в обновлениях, оставались открытыми. Те люди, которые уже знали расшифровку «СБ», знают и то, что в большинстве случаев спорить с сотрудниками этой службы бесполезно или опасно для карьеры.
Путем быстрого изучения вопроса мы выяснили, что все указанные в отчете уязвимости устранены в ArcGIS версии 10.5 и, естественно, в более новых версиях ПО. Поскольку ПО находилось на текущей технической поддержке, было принято решение о скорейшем обновлении ПО на сервере.
