В предыдущей статье мы уже писали о новых функциях, исправлениях и прочих удобствах, которые вы получаете при оплате технической поддержке и обновлении ПО.
В этом материале остановимся на еще одном аспекте установки или не-установки обновлений, который может не привести или привести к неприятностям с СБ. Вам повезло, если вы пока не знакомы с расшифровкой этого сокращения, но все равно прочитать эту статью вам тоже будет полезно.

Итак, ситуация: в организации на сервере установлены ArcGIS for Server 10.3.1, Portal for ArcGIS 10.3.1 и ArcGIS for Desktop 10.3.1. По результатам проверки данного сервера внутренней СБ администратору было выдано предписание устранить найденные уязвимости:

Местоположение файла

Уязвимость

Версия ПО

Критич-ность

Описание уязвимости
PostgreSQL — 9.2.4 — C:\Program Files\ArcGIS\Portal\framework\ runtime\pgsql_9.2.4\bin\psql.exe CVE-2016-0766 9,0 Высокий уровень Повышение привилегий
PostgreSQL — 9.3.4 — C:\Program Files\ArcGIS\Portal\framework\ runtime\pgsql\bin\psql.exe CVE-2016-0766 9,0 Высокий уровень Повышение привилегий
JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe CVE-2013-5907 10,0 Высокий уровень Уязвимость Oracle Java
JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe CVE-2013-2464 10,0 Высокий уровень Уязвимость в JRE
JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe CVE-2016-3443 10,0 Высокий уровень Уязвимость в Oracle Java SE
JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe CVE-2016-5556 9,3 Высокий уровень Уязвимость в Java SE (2D)
JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe CVE-2016-5582 9,3 Высокий уровень Уязвимость в Java SE (Hotspot)
JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe CVE-2016-5568 9,3 Высокий уровень Уязвимость в Oracle Java SE (AWT)
JavaTM Platform — 6 U45 — C:\Program Files (x86)\ArcGIS\Desktop10.3\java\jre\bin\javaws.exe CVE-2015-8126 7,5 Высокий уровень Переполнение буфера

Все наши доводы, что указанные уязвимости можно использовать только в случае доступа к файловой системе сервера ни к чему не привели. При этом почему-то СБ не обратила внимание на большое количество уязвимостей, которые были исправлены в трех (!) выпущенных ArcGIS for Server 10.3.1 Security 2017 Patch и трех (!) Portal for ArcGIS 10.3.1 Security 2017 Patch.
Надо отметить, что на данном сервере не стояло ни одного из указанных обновлений, соответственно, все уязвимости, закрытые в обновлениях, оставались открытыми. Те люди, которые уже знали расшифровку «СБ», знают и то, что в большинстве случаев спорить с сотрудниками этой службы бесполезно или опасно для карьеры.

Путем быстрого изучения вопроса мы выяснили, что все указанные в отчете уязвимости устранены в ArcGIS версии 10.5 и, естественно, в более новых версиях ПО. Поскольку ПО находилось на текущей технической поддержке, было принято решение о скорейшем обновлении ПО на сервере.