Problem CVE-2014-0160 opisywany przez media terminem „Heartbleed” jest usterką odnalezioną w niektórych wersjach implementacji protokołu OpenSSL. Błąd pozwala na nieautoryzowane wydobycie informacji z oprogramowania serwerowego lub klienckiego korzystającego z protokołów SSL/TLS. Jeśli klient jest w stanie wykorzystać usterkę na serwerze, klucz prywatny web server’a może zostać przechwycony. W efekcie cała zaszyfrowana komunikacja na linii klient-serwer może zostać rozszyfrowana przez złośliwe oprogramowanie firm/osób trzecich.

Portal for ArcGIS nie jest podatny na tę usterkę.

Oprogramowanie ArcGIS for Server dla Windows wykorzystuje biblioteki OpenSSL i może przez to być oznaczone przez skanery bezpieczeństwa jako podatne na zagrożenie. ArcGIS for Server nie jest jednak zagrożony ponieważ nie korzysta z OpenSSL na poziomie obsługi zapytań usług sieciowych (używana jest implementacja SSL w technologii Java). Ponadto ArcGIS for Server dla Windows używa WinInet (implementacja Microsoft’u) do połączeń ze zdalnymi usługami sieciowymi.

Oprogramowanie ArcGIS for Server dla Linux w wersji 10.2, 10.2.1 oraz 10.2.2 jest podatne na zagrożenie jednak nie jako serwer a jako klient innych serwerów. Ta sytuacja występuje tylko w przypadku serwisów drukowania (Print Service) oraz serwisów publikujących (Publishing Services), które łączą się ze zdalnymi serwerami ArcGIS. Oznacza to , że szyfrowanie w ArcGIS for Server dla Linux nie zostało złamane. Aczkolwiek, atakujący może mieć możliwość uzyskania pewnych informacji jak: miejsce instalacji ArcGIS Server, nazwę obecnie działającego użytkownika, oraz może mieć możliwość nieautoryzowanego zatrzymania serwisów wydruku.

Patch naprawiający problem w oprogramowaniu ArcGIS for Server dla Linux jest w opracowaniu i zostanie udostępniony przez ESRI Inc. w najbliższym czasie.

Oryginalna wersja komunikatu: http://support.esri.com/en/knowledgebase/techarticles/detail/42407

Informacje nt. CVE-2014-0160: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

/ Aktualizacja 23.04.2014

ESRI Inc. udostępnia Patch naprawiający usterkę w oprogramowaniu ArcGIS for Server 10.2, 10.2.1 oraz 10.2.2 zainstalowanym na systemach operacyjnych z rodziny Linux.

Zalecane jest jak najszybsze zainstalowanie poprawki.

Patch można pobrać ze strony producenta: http://support.esri.com/en/downloads/patches-servicepacks/view/productid/66/metaid/2088

/ Aktualizacja 07.07.2014

ESRI Inc. udostępnia kolejny Patch, w związku z komunikatem o podatności ArcGIS for Server na usterkę Heartbleed/OpenSSL. Patch dotyczy notatki ESRI o numerze NIM101047 - Instancje ArcGIS for Server, które w rzeczywistości nie są podatne na zagrożenie ze strony usterki w protokole OpenSSL, podczas skanowania pod kątem zagrożenia, mogą zgłaszać "fałszywie pozytywny" komunikat o podatności na usterkę. Patch wprowadza poprawkę, dzięki której Instancje ArcGIS for Server nie będą wywoływać fałszywego komunikatu o podatności na to zagrożenie.

Patch można pobrać ze strony producenta: http://support.esri.com/en/downloads/patches-servicepacks/view/productid/67/metaid/2101

Dotyczy wersji ArcGIS for Server 10.1 do 10.2.2