お知らせ 【問題】Portal for ArcGIS Enterprise Sites Security Patch について

ナレッジ番号:5682 | 作成日:2023/12/12

概要

2023年 6月下旬にリリースされました、バージョン 10.8.1、10.9.1、および 11.1 向けの Portal for ArcGIS Enterprise Sites Security Patch について、重大な不具合が見つかりました。このパッチは、問題の調査のため 2023年 10月 12日に非公開状態に戻され、ダウンロードができないように設定されました。この問題は、該当のパッチがインストールされた Windows 版の ArcGIS Enterprise 10.8.1、10.9.1、および 11.1 が対象です。

現在、米国 Esri 社の ArcGIS Enterprise の開発チームにて問題の対処中です。もしもお客様の環境にてこのパッチがインストールされている場合には、以下の点にご留意をお願いいたします。
  • Portal for ArcGIS に対して、いかなる追加のパッチのインストールも行わないでください
  • 問題のパッチも含め、Portal for ArcGIS からいかなるパッチのアンインストールも行わないでください
  • Portal for ArcGIS 自体のアンインストールやバージョンアップを行わないでください
ArcGIS Enterprise 11.1 および 10.9.1 向けには、この問題への対処として検査と修復を行うためのツール(Validation and Repair tool)、および修正済みのパッチ(ファイル名:ArcGIS-111-PFA-ESSEC-PatchC.msp, ArcGIS-1091-PFA-ESSEC-PatchB.msp)がリリースされました。まずは Validation and Repair ツール(ファイル名:ArcGIS-PFA-111-ValidationRepair.exe, ArcGIS-PFA-1091-ValidationRepair.exe)をダウンロードいただき、パッチのインストールを行う前に必ず実行してください。詳細については、こちらのページをご参照ください:Portal for ArcGIS Enterprise Sites Security Patch 適用について

ArcGIS Enterprise 10.8.1 向けのツールとパッチについては、現在準備中となっております。
米国 Esri 社より追加の情報が入り次第、本ページにて情報を更新いたします。

ご不明な点がありましたら、また、もしもお客様の環境に該当するパッチをインストール済みの場合には、My Esri より弊社製品サポート サービスまでご連絡をいただけますと幸いです。

詳細

Portal for ArcGIS Enterprise Sites Security Patch は 2023 年 6 月下旬に、10.8.1、10.9.1、および 11.1 向けにリリースされたものです。このパッチのインストールによって問題となる影響があるのは Windows 上の ArcGIS Enterprise ですので、Linux 版、および Kubernetes に配置された ArcGIS Enterprise には問題は生じません。

問題のパッチは、問題の調査のために 2023年 10月 12日の時点で一時的に非公開状態に戻されました。このパッチがインストールされた場合には、その目的としての脆弱性への対処は正しく行われるものの、Portal for ArcGIS におけるパッチのインストール状態を破損させるという問題があります。

ArcGIS Enterprise は、問題のパッチがインストールされていても、パッチによる潜在的な影響を表面化させる特定の操作が行われない限り、正常に動作を続けます。

ArcGIS Enterprise 11.1 および 10.9.1 向けには、Validation and Repair ツールおよび修正版のパッチがリリースされています。このツールによる検証と修復を行えるまでの間、Portal for ArcGIS Enterprise Sites Security Patch 11.1 および 10.9.1 をインストール済みのお客様は下記の点にご留意ください:
  • Portal for ArcGIS からパッチのアンインストールを行わないでください。パッチのアンインストールによって、このパッチによって対策されていたセキュリティ脆弱性への保護が失われてしまいます。
ArcGIS Enterprise 10.8.1 への対策は現在準備中です。該当のバージョンにおいて問題のパッチをインストールされているお客様におかれましては、Esri からの、追加の対策に関する情報の更新をお待ちください。

ArcGIS Enterprise 10.8.1 のお客様は、Esri からの対策がリリースされるまでの間、下記の点をご注意ください:
  • 問題のパッチも含め、Portal for ArcGIS からいかなるパッチのアンインストールも行わないでください。パッチのアンインストールによって、このパッチによって対策されていたセキュリティ脆弱性への保護が失われてしまいます。
  • Portal for ArcGIS に対して、いかなる追加のパッチのインストールも行わないでください。追加のパッチや Hotfix のインストールの試みは失敗するだけでなく、さらなる問題の原因となります。
  • Portal for ArcGIS 自体のアンインストールやバージョンアップを行わないでください。この問題のパッチが持つ影響により、Portal for ArcGIS 自体のアンインストールやバージョンアップも失敗し、Portal for ArcGIS が動作しなくなるといったさらなる問題の原因となります。
これらの推奨事項は、問題のパッチをインストールされたお客様の ArcGIS Enterprise 環境がさらなる問題、実行環境の破損に進んでしまうリスクを軽減するためのものです。これらの推奨事項は一般化されたものですので、お客様のお使いのバージョンや状況によっては正確には該当しない可能性がありますが、ご不明な点は My Esri より弊社製品サポート サービスまでご連絡をいただけますようお願いいたします。

Esri による対策

ArcGIS Enterprise の開発チームはこの問題についての対策を進めています。具体的には、以下の対策が用意、あるいは準備されています:
  • バージョン固有の Portal for ArcGIS Validation and Repair ツール
    • ツールは最初に Portal for ArcGIS の検証を行い、問題となるパッチがインストールされていないか検出します。問題のパッチが検出されず、追加のパッチ適用などが可能な状況な場合には「検証済み」であることをマークします。
    • 次に、ツールによって ArcGIS Enterprise から問題となるパッチを除去します。また、問題のパッチの適用以降にインストールが試みられたパッチの痕跡を除去し、また問題のパッチ適用以前にインストールされたパッチについても、すべて除去します。
    • 修復が完了すると、ArcGIS Enterprise はツールによって「検証済み」とされます。
    • ツールによる修復を行った Portal for ArcGIS には、必要なパッチをすべて、再度適用する必要があります。
  • 今後リリースされるすべてのパッチの前提条件
    • Portal for ArcGIS Validation and Repair ツールが実行済み(「検証済み」)であることが必須となります。
  • インストール環境への問題を解決した、修正済みの Portal for ArcGIS Enterprise Sites Security Patch
     
これらの対策は、ArcGIS Enterprise のバージョンそれぞれに固有のものとなります。各バージョンへの対策のリリース予定は下記のとおりです。
 バージョン Validation and Repair ツール  修正版のパッチ
11.1 2023 年 12 月 12 日リリース済み
2023 年 12 月 12 日リリース済み
10.9.1  2024 年 2 月 12 日リリース済み  2024 年 2 月 12 日リリース済み
10.8.1  2024 年 第一四半期内リリース予定 2024 年 第一四半期内リリース予定

バージョン 11.1、10.9.1、10.8.1 の Windows 版 ArcGIS Enterprise をお持ちのお客様は、今後リリースされるすべてのパッチにおいて、インストールの前提条件に Portal for ArcGIS Validation and Repair ツールによる検証が追加されることにご留意ください。現在問題のパッチがインストールされていない場合でも、ツールによる検証が済んでいる必要があります。

次なるステップ

  • 問題のパッチがインストールされているかどうかを確認:インストールされている場合は、前述「問題の詳細」セクションに記載されている注意事項・推奨事項に従ってください。問題のパッチをインストール済みかどうか不明な場合には、確認方法について弊社サポート サービスまでお問い合わせください。
  • ArcGIS Enterprise 11.1 をお使いの場合: リリースされている Portal for ArcGIS Validation and Repair ツールをダウンロードし、修正版のパッチ Portal for ArcGIS Enterprise Sites Security Patch C を適用してください(日本語の適用手順はこちらです)。
  • ArcGIS Enterprise 10.9.1 をお使いの場合: リリースされている Portal for ArcGIS Validation and Repair ツールをダウンロードし、修正版のパッチ Portal for ArcGIS Enterprise Sites Security Patch B を適用してください(日本語の適用手順はこちらです)。
  • ArcGIS Enterprise 10.8.1 をお使いの場合: Portal for ArcGIS に対して、いかなる追加のパッチのインストールも行わないでください。また、問題のパッチも含め、Portal for ArcGIS からいかなるパッチのアンインストールも行わないでください。もしも問題のパッチが、これまでに適用されたパッチの中で最後にインストールされたパッチであれば、お客様の ArcGIS Enterprise 環境はセキュリティ対策も施された状態で、問題なく動作します。そのままの状態で、Esri が次に(2024 年 第一四半期)リリースする予定の対策をお待ちください。もしも問題のパッチ適用の後に、Portal for ArcGIS に対して何かしらのパッチのインストールを試みられたことがある場合には、弊社製品サポート サービスまでご連絡ください。
  • その他ご不明な点は My Esri より弊社製品サポート サービスまでご連絡をいただけますようお願いいたします。

FAQ

問題のパッチによる影響はどのように確認できますか?
問題のパッチがインストールされているだけでは、直接的に影響は表れません。パッチ自体はエラーとならずインストールできます。また、パッチの目的である脆弱性への対処も意図通りに行われます。ArcGIS Enterprise はパッチがインストールされていても正常に動作します。このパッチの問題では、大抵のソフトウェアの不具合で見られるような、明らかな機能上の欠陥や予期せぬ動作は起こりません。

問題のパッチを単にアンインストールすることはできませんか?
いいえ、この問題の性質上、パッチのインストールだけでは解決しません。さらに、このパッチによって対策されていたセキュリティ脆弱性への保護が失われてしまいます。問題のパッチも含め、Portal for ArcGIS からいかなるパッチのアンインストールも行わないようお願いします。

このパッチによって、どのような問題が生じるのですか?
このパッチは、Portal for ArcGIS のインストール状態にとって問題となる副作用を及ぼします。問題は、2段階に生じる可能性があります:
  • 最初の段階は、問題のパッチが適用された Portal for ArcGIS に対して別のパッチを追加でインストールを試みた際に発生します。
  • 二段階目は、追加のパッチ適用が試みられた後に(第一段階を経た状態で)Portal for ArcGIS のアップグレードもしくはアンインストールが試みられた際に発生します。
この二段階の副作用は、現在のところバージョン 10.9.1 および 10.8.1 のみで起こり得ます。バージョン 11.1 では問題への対策が講じられるまでの間に、Portal for ArcGIS Enterprise Sites Security Patch 以外のパッチがリリースされていなかったため、副作用の第一段階に到達しません。バージョン 10.9.1 および 10.8.1 では、これまでに複数のパッチがリリースされているため、これらの段階に到達する可能性があります。
 
問題のパッチが適用された Portal for ArcGIS に対して、追加で別のパッチのインストールを試みると問題(副作用)の第一段階に入ります。追加のパッチ インストールでは、エラー表示にはなりませんが、インストールが通常よりも早く終了します。また、パッチ自体は正しくインストールされないため、Windows のプログラム一覧にも表示されず、Patch Notification Tool で確認しても未適用の状態で見えます。お客様にとっては、この時点で初めて、何かが正常ではないと思われる可能性がありますが、これが問題のパッチの影響だとは気が付きにくいものです。この段階においても、ArcGIS Enterprise は通常通りに動作を続けます。また、問題のパッチによるセキュリティ対策も有効なままです。しかしながら、Portal for ArcGIS のインストール情報はより深い影響を受けており、ここから Portal for ArcGIS 自体のアップグレードやアンインストールを試みられた場合に重大な問題となります。

もしも問題(副作用)の第一段階に入っていると思われる場合には、Portal for ArcGIS のバージョンアップやアンインストールは行わないように、お願いします。これらの試みによって問題(副作用)の第二段階に進んでしまいます。また、問題(副作用)の第一段階に入っていると思われる場合 Portal for ArcGIS からいかなる Portal for ArcGIS のパッチのアンインストールも行わないでください。第一段階の状況は、今後リリースされる Portal for ArcGIS Validation and Repair ツールによって修復が可能です。第一段階にあると思われる場合、Esri からのツールのリリースをお待ちください。

問題(副作用)の第二段階へは、Portal for ArcGIS に対する追加のパッチ適用に失敗した後で(第一段階にある状況で) Portal for ArcGIS のアップグレード(バージョンアップ)を試みた際に進みます。第二段階に到達してしまった ArcGIS Enterprise は、動作しなくなります。アップグレードの試みは失敗し、マシン上には二つのバージョンが不完全に残った状態となってしまいます。この状態に到達してしまった場合には、Portal for ArcGIS Validation and Repair ツールでは修復することはできません。My Esri より弊社製品サポート サービスまでご連絡をいただけますようお願いいたします。

適用済みのパッチについて、適用した順番を確認することはできますか?
パッチの適用順序は、Windows の更新パネルにて日付までを確認できます。もしも同じ日に複数のパッチをインストールされている場合には、その順番を確認することはできません。詳細については、弊社製品サポート サービスまでお問合せください。

問題のパッチを適用済みですが、ArcGIS Enterprise のアップグレード(バージョンアップ)を行っても良いですか?
アップグレードの計画を進める前に、お客様の環境において Portal for ArcGIS に適用したパッチのうち、問題のパッチが一番最後に適用されたパッチであることをご確認いただくことが非常に重要です。もしも問題のパッチの適用後に、別のパッチのインストールを試みられたことがあった場合には、アップグレードによって修復不可能な段階に進んでしまう恐れがあります。

上記理由により、アップグレードを進められたい場合には、問題のパッチが最後に適用されたパッチ(以後、いかなる追加のパッチ適用も試みられていない)だということが確実な場合にのみ行ってください。パッチの適用順に確証が持てない場合には、お使いの ArcGIS Enterprise バージョンに対応した Validation and Repair ツールのリリースをお待ちください。

最も安全なアプローチは、Validation and Repair ツールがリリースされるのをお待ちいただくことです。アップグレード(バージョンアップ)に関しご不明な点がある場合は、弊社サポート サービスまでお問合せください。

ArcGIS Server、ArcGIS Data Store、ArcGIS Web Adaptor には問題のパッチの影響はありますか?
いいえ。このパッチの問題は、ArcGIS Enterprise を構成するコンポーネントの中でも Portal for ArcGIS のみに影響します。

Portal for ArcGIS Enterprise Sites Security パッチとは、何を解決するものですか?
Portal for ArcGIS Enterprise Sites Patch によって以下の脆弱性への対策が施されます:
  • CVE-2023-25835 – CVSS 8.4 (High severity) – 11.1、10.9.1、および 10.8.1 向けパッチで対策
  • CVE-2023-25836 – CVSS 5.4 (Medium) – 10.8.1 向けパッチで対策
  • CVE-2023-25837 – CVSS 6.8 (Medium) – 10.8.1 向けパッチで対策
ArcGIS Trust Center には、Portal for ArcGIS Enterprise Sites Security Patch によって対策される脆弱性に関する詳細があります。

脆弱性への対処として、このセキュリティ パッチが必要ですが、現在ダウンロードできません。
お使いのバージョンに対応した Validation and Repair ツールと修正版のパッチがリリースされるまでの間、2つの選択肢が考えられます。もしもこれまでに問題のパッチが適用済みであれば、この脆弱性は既に対象済みです。以下は、問題のパッチを未適用な場合の選択肢であることにご留意ください。
  • オプション 1: 該当の脆弱性に対処済みである、ArcGIS Enterprise 11.2 へのアップグレード
  • オプション 2: ArcGIS Enterprise Sites コア チーム グループからメンバーを削除する
上記いずれのオプションにおいても、ArcGIS Enterprise Sites へのアクセスは可能なままとなります。

 
本記事の内容は、以下の米国 Esri 社の情報ページを元に作成されています:
IMPORTANT: Defective Portal for ArcGIS patch

以下に、該当の問題となるパッチのファイル名を記載します。これらのインストーラーをお持ちの場合には、適用されないようお願いいたします。
ArcGIS-1081-PFA-ESSEC-Patch.msp
ArcGIS-1091-PFA-ESSEC-Patch.msp
ArcGIS-111-PFA-ESSEC-Patch.msp
ArcGIS-111-PFA-ESSEC-PatchB.msp

更新履歴

2024年2月22日 バージョン 10.9.1 について更新
2023年12月12日 公開

関連する質問