OpenSSL 'Heartbleed' Fehler

Software: ArcGIS for Server 10.1, 10.2, 10.2.1, 10.2.2
Betriebssystem: Linux

Beschreibung:
Eine Sicherheitslücke in der Verschlüsselungstechnologie OpenSSL macht zur Zeit Schlagzeilen. Betroffen sind ein Großteil der Server im Netz, aber möglicherweise auch private Internetnutzer. Durch den unter dem Namen Heartbleed bekannt gewordenen Fehler können ungewünscht Daten preisgegeben worden sein. Der Fehler soll seit etwa zwei Jahren bestehen.

Innerhalb von Stunden nach Bekanntgabe dieses Fehlers startete Esri mit einer koordinierten Analyse der Risiken innerhalb der Esri Produktlinie und hat die Ergebnisse in Knowledgebase Artikeln veröffentlicht, die Sie unter weitere Informationen finden.

Fazit bezüglich der Komponenten der Esri Software:
ArcGIS for Server unter Linux 10.1, 10.2, 10.2.1, und 10.2.2 sind verwundbar, allerdings nicht als Server sondern als Client zu anderen Servern was bei Print Service und Publishing Services der Fall sein kann, wenn sie remote zu anderen ArcGIS Servern verbunden werden. Hacker könnten damit ermitteln, wo ArcGIS for Server installiert ist, den Namen des Benutzers und könnten den Print Service potenziell zum Absturz bringen.

Lösung:
Für ArcGIS 10.2 - 10.2.2 steht ein Patch zur Verfügung. Für ArcGIS Online hat Esri bereits neu Zertifikate eingespielt. Für Portal for ArcGIS sind keine Aktionen bzgl. der Anwender notwendig.

Esri empfiehlt, für potenziell betroffene Systeme die Passwörter zu ändern.

Weitere Informationen: