Heartbleed kein Grund zur Sorge für Esri-Kunden

Details zur Bedeutung der OpenSSL-Sicherheitslücke für alle Esri Produkte - Patch für ArcGIS for Server (Linux) jetzt verfügbar

In den Medien hat die Nachricht von einer Sicherheitslücke in der weitverbreiteten OpenSSL-Bibliothek für viel Aufsehen gesorgt. Und gleich vorab: Es ist richtig und wichtig dies zu beachten!

Esri setzt die OpenSSL-Bibliotheken ebenfalls ein - und hat alle seine Online-Systeme und Produkte unmittelbar auf die Auswirkungen/Gefährdungen hin untersucht.

In einen Knowledge Base Technical Article sind alle betroffenen Systeme und die Auswirkungen/Handlungsnotwendigkeiten für Kunden zusammengefaßt. Bitte lesen Sie diesen Artikel aufmerksam durch und handeln Sie entsprechend.

Im Großen und Ganzen kann allerdings an dieser Stelle bereits Entwarnung gegeben werden:

  • In vielen Produkten und Lösungen werden die OpenSSL-Bibliotheken nicht oder in einer Weise eingebunden, die ein schadhaftes Ausnutzen nicht zulassen
  • In allen Online-Systemen sind notwendige Anpassungen vollzogen. Eine regelmäßige Passwortänderung ist generell empfohlen.
  • Die GlobalAccount-Systeme von Esri sind nicht betroffen
  • SynerGIS WebOffice nutzt diese Bibliotheken übrigens ebenfalls nicht

An zwei Stellen weist Esri auf eine mögliche Gefährdung hin:

  • Bei ArcGIS for Server unter Linux (wenn Print Services und Publishing Services genutzt werden) - hierzu existiert ein gesonderter Artikel (KB 42407) und ein Patch ist verfügbar.
  • Alle Web Gateways (dies sind KEINE Esri Produkte!), also zum Beispiel Lösungen für reverse Proxy Konfigurationen oder NAT, die OpenSSL verwenden, müssen überprüft werden. Hierzu sind die Informationen des Anbieters dieser Lösungen einzuholen.

Weitere Informationen finden Sie bei