Correctif de sécurité relatif à OpenSSL (Heartbleed)

La semaine dernière, une alerte de sécurité a été émise au sujet d'une vulnérabilité d'OpenSSL (CVE-2014-0160 appelé également Heartbleed). Dès cette annonce, Esri a analysé les répercutions potentielles en terme de sécurité dans les solutions ArcGIS contenant et exploitant activement ce composant. Il s'avère que cette vulnérabilité ne concerne au final qu'ArcGIS for Server 10.2 (et supérieur) et sur l'environnement Linux uniquement. La faille potentielle permettrai l'accès à la mémoire des services d'impression et des services de publication et par conséquent aux chemins d'accès des fichiers, aux noms des machines et au nom du compte executant les processus d'ArcGIS for Server. En aucun cas cette faille d'OpenSLL ne permet d'obtenir des clés privées ou des mots de passe du serveur. La description de ce problème et l'impact potentiel sur les solutions ArcGIS est détaillé dans cet article du Support Center Esri.

Comme de nombreux autres éditeurs de solutions logicielles, Esri a mis en ligne un patch permettant de corriger cette potentielle vulnérabilité. Ce patch s'applique à ArcGIS for Server 10.2, 10.2.1 et 10.2.2 pour Linux. Esri recommande son installation dès que possible à partir des médias que vous pourrez télécharger sur cette page.