Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

CERT betont Wichtigkeit: Security-Patch für Geoinformationssystem-Plattform

Дата публикации: 08-07-2026 12:43:00

Admins, die Esris Juni-Patch noch nicht eingespielt haben, sollten dies angesichts einzelner zielgerichteter Angriffe und einem aktuellen Warnhinweis nachholen.

Основное содержимое страницы с новостью.

Über seinen Warn- und Informationsdienst hat das Computer Emergency Response Team (CERT) des BSI in einem aktuellen Sicherheitshinweis nochmals auf die Dringlichkeit des seit Ende Juni verfügbaren Portal for ArcGIS Security 2026 Update 2 Patches für Esri ArcGIS Enterprise hingewiesen.

Das auf Geoinformationssysteme (GIS) spezialisierte Softwareunternehmen Esri hatte Administratoren in einem auf den 18. Juni datierten und im Anschluss offenbar mehrfach aktualisierten Security-Bulletin dringend dazu geraten, das Update innerhalb von zwei Wochen einzuspielen.

Wer dies bislang noch nicht getan hat, sollte jetzt handeln: Die Aktualisierung schließt zwei Sicherheitslücken, von denen eine als kritisch eingestuft wurde und für die mittlerweile auch CVE-IDs und weiterführende Informationen vorliegen. Im Bulletin berichtet Esri zudem, dass laut Kundenberichten unsichere Account-Wiederherstellungsmechanismen für gezielte Angriffe missbraucht worden seien.

Verwundbar sind laut Bulletin „Portal for ArcGIS“-Versionen bis einschließlich 12.1 – und zwar grundsätzlich nur dann, wenn im ArcGIS-Enterprise-Deployment vorangelegte (“built-in“) Accounts aktiviert sind.

Remote-Angriffe ohne Authentifizierung

Die beiden Sicherheitslücken mit den IDs CVE-2026-13019 (CVSS-Base-Score 9.8, „critical“) und CVE-2026-13020 (8.1, „high“) fußen auf einem fehlenden Authentifizierungsmechanismus für eine nicht näher bezeichnete kritische Funktion beziehungsweise auf schwachen Passwort-Wiederherstellungsmechanismen. Beide könnten aus der Ferne und ohne vorherige Authentifizierung missbraucht werden, um auf eine ungeschützte Programmbibliothek zuzugreifen (CVE-2026-13019) oder um sich Zugriff auf den angegriffenen Nutzeraccount zu verschaffen (CVE-2026-13020).

Laut Esris Security Bulletin bannt der verfügbare Sicherheitspatch die Gefahr unter anderem dadurch, dass er die bisherige, auf einer Sicherheitsabfrage („recovery question“) basierende Passwortwiederherstellungsfunktion aus der Software entfernt. Dies führe unter Umständen dazu, dass je nach Konfiguration die verantwortlichen Admins oder aber die Nutzer selbst ihre bisherigen Passwörter zurücksetzen müssen.

Hinweise zur Vorgehensweise sowie grundsätzliche Tipps zur besseren Absicherung und Konfiguration von ArcGIS Enterprise sind dem Bulletin sowie auch den detaillierten Relase-Notes zum Patch zu entnehmen.

(ovw)

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Lückenflut durch KI-Funde – Software-Hersteller schrauben an Patch-Strategien0510-07-2026
2n8n: CERT-Bund veröffentlicht Warnmeldung zu kürzlich beseitigten Schwachstellen0509-07-2026
3RoguePlanet-Zero-Day: Microsoft legt neuen Windows-Patch nach 0509-07-2026
4Foxit-Entwickler schließen Schwachstellen in PDF Reader und Editor0508-07-2026
5Chrome-Browser & ChromeOS LTS : Updates schließen teils kritische Lücken0509-07-2026
6Руководитель Рособрнадзора поручил усилить системы проведения экзаменов0013-05-2025
7В Рязанской области объявили опасность атаки БПЛА0028-05-2025
8Во Владимирской области объявляли угрозу атаки БПЛА0508-07-2026
9ЦБ к 2021 году оценит готовность кредитно-финансовой сферы России к киберугрозам0016-09-2019

Классификация: Общество. Схожих патентов: 0. Схожих новостей: 9. Тональность: 0. Информативность: 5. Источник: www.heise.de.