Datenschutz & Sicherheit

ArcGIS Enterprise: Wichtiger Patch sichert Geoinformationssystem-Plattform ab


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Über seinen Warn- und Informationsdienst hat das Computer Emergency Response Team (CERT) des BSI in einem aktuellen Sicherheitshinweis nochmals auf die Dringlichkeit des seit Ende Juni verfügbaren Portal for ArcGIS Security 2026 Update 2 Patches für Esri ArcGIS Enterprise hingewiesen.

Weiterlesen nach der Anzeige

Das auf Geoinformationssysteme (GIS) spezialisierte Softwareunternehmen Esri hatte Administratoren in einem auf den 18. Juni datierten und im Anschluss offenbar mehrfach aktualisierten Security-Bulletin dringend dazu geraten, das Update innerhalb von zwei Wochen einzuspielen.

Wer dies bislang noch nicht getan hat, sollte jetzt handeln: Die Aktualisierung schließt zwei Sicherheitslücken, von denen eine als kritisch eingestuft wurde und für die mittlerweile auch CVE-IDs und weiterführende Informationen vorliegen. Im Bulletin berichtet Esri zudem, dass laut Kundenberichten unsichere Account-Wiederherstellungsmechanismen für gezielte Angriffe missbraucht worden seien.

Verwundbar sind laut Bulletin „Portal for ArcGIS“-Versionen bis einschließlich 12.1 – und zwar grundsätzlich nur dann, wenn im ArcGIS-Enterprise-Deployment vorangelegte (“built-in“) Accounts aktiviert sind.

Die beiden Sicherheitslücken mit den IDs CVE-2026-13019 (CVSS-Base-Score 9.8, „critical“) und CVE-2026-13020 (8.1, „high“) fußen auf einem fehlenden Authentifizierungsmechanismus für eine nicht näher bezeichnete kritische Funktion beziehungsweise auf schwachen Passwort-Wiederherstellungsmechanismen. Beide könnten aus der Ferne und ohne vorherige Authentifizierung missbraucht werden, um auf eine ungeschützte Programmbibliothek zuzugreifen (CVE-2026-13019) oder um sich Zugriff auf den angegriffenen Nutzeraccount zu verschaffen (CVE-2026-13020).

Laut Esris Security Bulletin bannt der verfügbare Sicherheitspatch die Gefahr unter anderem dadurch, dass er die bisherige, auf einer Sicherheitsabfrage („recovery question“) basierende Passwortwiederherstellungsfunktion aus der Software entfernt. Dies führe unter Umständen dazu, dass je nach Konfiguration die verantwortlichen Admins oder aber die Nutzer selbst ihre bisherigen Passwörter zurücksetzen müssen.

Hinweise zur Vorgehensweise sowie grundsätzliche Tipps zur besseren Absicherung und Konfiguration von ArcGIS Enterprise sind dem Bulletin sowie auch den detaillierten Relase-Notes zum Patch zu entnehmen.

Weiterlesen nach der Anzeige


(ovw)



Source link

Beliebt

Die mobile Version verlassen