Release Notes 4.22

What’s New

Unterstützung von Tomcat 10 und Java 21

security.manager unterstützt nun Tomcat 10 und Java 21. Damit entfällt die Unterstützung für Tomcat 9 und Java 11. Weitere Informationen entnehmen Sie bitte den Systemanforderungen.

Entfall des Lizenzschutzes

Ab dieser Version wird kein Lizenzfile mehr benötigt. Eventuell bereits installierte Lizenzfiles können entfernt werden.

Update-Hinweise

Falls Sie bei dem Update mehrere Versionen überspringen, befolgen Sie bitte auch alle Update-Hinweise der dazwischenliegenden Versionen.

Update Tomcat und Java

Bitte aktualisieren Sie Ihre Tomcat-Instanz auf Version 10. Falls Sie bislang Java 11 benutzt haben, aktualisieren Sie dies bitte auf Version 17 oder 21.

Grundlegende Änderungen für Abfragen in Definition-Query Obligationen (ab 4.22.1)

In Rechten können Sie Definition-Query Obligationen definieren, um den Zugriff auf Objekte eines Layers zu beschränken. Bei Definition-Query Obligationen müssen Sie eine Abfrage definieren, die Verweise auf Attribute der anfragenden Person enthalten kann:

Abfrage mit Verweis auf das Attribut 'customattribute0'
LEVEL <= ${user.customattribute0}

security.manager überprüft nun, dass Attribute nur durch SQL-Literalwerte ersetzt werden, wenn sie in Abfragen eingesetzt werden. Standardmäßig werden nicht-literale Werte zurückgewiesen und führen zu einem Fehler bei der Dienstanfrage.

Wenn Sie Attributwerte akzeptieren müssen, die auch durch etwas anderes als SQL-Literale ersetzt werden, müssen Sie sie jetzt innerhalb der Abfrage ausdrücklich als insecure kennzeichnen. Andernfalls werden Anfragen mit einer Fehlermeldung fehlschlagen. Das folgende Beispiel zeigt, wie Sie ein Attribut kennzeichnen, das ohne jegliche Prüfung durch den angegebenen Wert ersetzt werden soll:

Ungeprüfte Übernahme des Wertes von 'customattribute0'
LEVEL <= ${user.customattribute0;insecure}

Abkündigungen

Für folgende Features wird die Weiterentwicklung eingestellt und das Ende der Unterstützung für die Zukunft angekündigt:

  • Natives Authentifizierungsprotokoll des Web Security Service ("WSS-Schnittstelle")

  • (Json) Token Authentifizierungsprotokoll des Web Security Service(WSS). Wir empfehlen die Nutzung der - aktuell so genannten - "agstoken" Authentifizierungsmethode.

  • Absicherung von Web Coverage Server (WCS)

  • Absicherung von transaktionalen Web Feature Servern (WFS-T)

  • INSPIRE View und Download Service als eigener Dienste-Typ (die Funktionalität wird über die Dienste-Typen WMS und WFS weiterhin aufrecht erhalten)

  • Zugriff auf geschützte Dienste über die Gateway-Applikation (Tab "Zugänge" in der security.manager-Administration)

  • Absicherung von ArcGIS Server Diensten

Bekannte Einschränkungen

Die folgende Liste enthält die zum Zeitpunkt der Freigabe der Version 4.22 bekannten Probleme und Hinweise:

Auslaufende Unterstützung von 'Third-Party-Cookies' in Google Chrome

Google hat angekündigt, dass die Unterstützung von 'Third-Party-Cookies' in Google Chrome bis Ende 2024 eingestellt wird. Dies ist unter Update on the plan for phase out of third party cookies on chrome nachzulesen. Der security.manager verwendet 'Third-Party-Cookies' für die Authentifizierung von Nutzern bei der Integration von geschützten Diensten in externe Webseiten über den /sso Endpunkt. Ein Beispiel dafür ist die Einbindung von security.manager geschützten Diensten in ArcGIS Online über den /sso Endpunkt. In diesem Fall erfolgt die Kommunikation über den Browser von einer externen Webseite (www.arcgis.com) zum security.manager (z.B. security.example.com). Wir empfehlen die Umstellung auf die agstoken Authentifizierungsmethode, da diese nicht auf Third-Party-Cookies angewiesen ist.

Zusätzlich empfehlen wir, die Nutzung von Third-Party-Cookies über das Setzen der Option security.sso.cookie.samesite=true zu deaktivieren.

Verzögerte Sichtbarkeit von parallelen Veränderungen an Nutzern und Rechten

Um Änderungen anderer Nutzer/Systeme in der auf der linken Seite angezeigten Baumstruktur des Administrators zu visualisieren, muss der Wurzelknoten der Baumstruktur ausgewählt werden und der Knopf Baum neuladen gedrückt werden.

Wertigkeit zweier Rechte

Werden zwei Rechte definiert, die auf einen Nutzer anwendbar sind, muss die korrekte Reihenfolge im security.manager Administrator (im Dialog „Rechteset") festgelegt werden. Beispiel: Es wird ein Recht definiert, das allen Nutzer Zugriff auf einen WMS gewährt, allerdings mit Copyright-Einschränkung. Für eine Nutzergruppe „registriert" wurde ein weiteres Recht für diesen WMS definiert, das den Zugriff ohne Copyright-Einschränkung gewährt. Beide Rechte sind gültig wenn Nutzer der Gruppe „registriert" den WMS zugreifen, es wird immer das erste anwendbare Recht benutzt. Um zu verhindern, dass die Nutzer der Gruppe „registriert" den gleichen Copyright-Vermerk sehen wie alle anderen, muss dieses Recht im Administration zuoberst aufgeführt werden.

Feature Types eines WFS müssen eindeutige Namen besitzen

Der security.manager unterscheidet nicht zwischen FeatureTypes mit dem gleichen Namen, aber unterschiedlichen Namespaces, z.B. wird x:city als identisch zu y:city gewertet. Daher ist es erforderlich, dass jeder FeatureType einen eindeutigen Namen besitzt.

Variable Feature-IDs bei der Verwendung von WFS als Quelle für räumliche Bedingungen

Beim Anlegen von räumlichen Obligationen muss auf die Korrektheit und Stabilität der angezeigten Feature-Ids geachtet werden. Feature-IDs der Form fid—​4d0f905b_126c17decf6_-7d52 weisen auf intern erzeugte Feature-IDs hin, welche sich mit jeder neuen Anfrage ändern und somit nicht zur Referenzierung von Features verwendet werden können. Wenn sich Feature-IDs mit jeder Anfrage an den WFS ändern, ist dies auf fehlende Feature-IDs in der WFS Antwort zurückzuführen. Hier muss die Konfiguration des WFS überprüft werden, damit korrekte und stabile Feature-IDs ausgeliefert werden.

Konfigurations-Dateien werden nicht korrekt erzeugt, wenn in einer Tomcat-Instanz installiert wird, die das Verzeichnis [TOMCAT_HOME]/conf/Catalina/localhost nicht enthält

Alternative 1: Das entsprechende Verzeichnis vor der Installation erstellen.

Alternative 2: Während der Installation werden die context.xml Dateien im [SECMAN_INSTALL]/webapps/post install Verzeichnis gespeichert. Diese können einfach in das Verzeichnis [TOMCAT_HOME]/conf/Catalina/localhost kopiert werden. Falls eine container-managed Datenbank verwendet wird, müssen die die XML-Dateien mit dem Suffix -jndi.xml kopiert werden.

Die folgenden Dateien müssen kopiert werden:

  • administration.xml

  • gateway.xml

  • wss.xml

Verwendung nicht offizieller EPSG-Codes bei ArcGIS-Server-Diensten

Je nach Konfiguration verwenden ArcGIS-Server-Dienste nicht offizielle EPSG-Codes für Gauß-Krüger-Referenzsysteme. Diese werden intern auf äquivalente offizielle EPSG-Codes abgebildet. Folgende Mappings werden hierbei verwendet:

  • EPSG:31492 → EPSG:31466

  • EPSG:31493 → EPSG:31467

  • EPSG:31494 → EPSG:31468

  • EPSG:31495 → EPSG:31469

Dieses Mapping wird nur für geschützte Dienste angewandt. Für die Definition von räumlichen Einschränkungen durch einen WFS dürfen nur offizielle EPSG-Codes verwendet werden.

Probleme bei räumlicher Autorisierung von WFS-Diensten auf Basis des ArcGIS Servers

ArcGIS Server WFS-Dienste unterstützen weder Multipolygon noch die Verwendung mehrerer Polygone in Filter-Ausdrücken. Daher kann für diese Dienste keine räumliche Autorisierung vorgenommen werden, wenn mehr als eine Geometrie für die räumliche Einschränkung definiert ist oder wenn in der eingehenden Anfrage bereits ein räumlicher Filter definiert ist.

Bei der Verwendung von Safari-Browsern kann es vorkommen, dass wiederholte Logins notwendig werden. Um dies zu vermeiden, wählen Sie unter EinstellungenSicherheitCookies akzeptieren (immer) aus.

WMS GetMap Anfrage mit SLD-Parameter wird blockiert, falls ein layerDefs Parameter angewandt werden würde

Wie in "Filtering features using the layerDefs parameter in WMS requests" beschrieben, werden die Parameter SLD und SLD-BODY vorrangig behandelt. In diesem Fall würde der layerDefs Parameter ignoriert werden.

Drucken von abgesicherten Diensten nur mit ags-relay URLs möglich

URLs von abgesicherten MapServer Diensten müssen mit ags-relay im URL-Schema benutzt werden:

http://[HOST]/wss/service/ags-relay/
  [EndpointID]/[AUTH_SCHEME]/arcgis/rest/services/
  [DIENSTNAME]/MapService

Zur Absicherung des ArcGIS Geocoders muss HTTP Chunked Transfer Encoding im security.manager deaktiviert sein

Der ArcGIS Geocoding-Server unterstützt kein HTTP Chunked Transfer Encoding. Wenn dieser Dienst abgesichert werden soll, muss HTTP Chunking in den security.manager-Einstellungen manuell deaktiviert werden. Stellen Sie dafür sicher, dass der Wert für die http.client.chunking-Property in der application.properties-Datei auf false gesetzt ist (SECMAN-658).

ArcGIS for INSPIRE Feature Download Services und räumliche Einschränkungen

ArcGIS for INSPIRE Feature Download Services unterstützen keine Polygone in Filter-Ausdrücken. Daher kann für diese Dienste keine räumliche Autorisierung vorgenommen werden.

Invalide XML-Antworten von ArcGIS for INSPIRE Feature Download Services

ArcGIS for INSPIRE Feature Download Services erzeugen unter Umständen invalide XML-Antworten, wenn eine GetFeature-Anfrage mehrere Stored Queries und/oder Query Elemente beinhaltet.

ArcGIS Server WFS und räumliche Einschränkungen sowie Einschränkungen durch OGC Filter-Ausdrücke

Beim Zugriff auf ArcGIS Server-basierte WFS kommt es insbesondere bei der Verwendung räumlicher Auflagen zu Fehlern. Betroffen sind die ArcGIS Server Versionen 10.3 und folgende, bei denen die WFS-Implementierung fehlerhaft oder unvollständig ist, so dass (räumliche) Einschränkungen nicht angewandt werden können. Je nach verwendeter WFS Version (1.0.0, 1.1.0, 2.0.0) kommt es zu unterschiedlichen Fehlermeldungen beim Dienstzugriff.

UMN MapServer WFS und räumliche Einschränkungen sowie Einschränkungen durch OGC Filter-Ausdrücke

Die WFS 1.0.0 und 1.1.0 Implementierungen des UMN MapServer unterstützen nicht alle spezifikationskonformen GML-Versionen, weswegen eine Durchsetzung von räumlichen Einschränkungen und Einschränkungen durch OGC Filter-Ausdrücke nicht möglich ist.

ArcGIS Server WFS und DescribeFeatureType-Requests

Bei einem ArcGIS Server WFS kann die Verwendung von DescribeFeatureType-Anfragen ohne Angabe von FeatureTypes zu einer Exception führen, wenn dieser Dienst viele FeatureTypes bzw. FeatureTypes mit langen FeatureType-Namen besitzt.

Performance und geschützte Dienste mit sehr großer Ressourcenzahl

Wenn ein geschützter Dienst (z.B. ein Map Service) eine große Zahl (> 60) von Ressourcen (z.B. Layer) besitzt, kann die Performance von Dienstanfragen wahrnehmbar sinken. Erwägen Sie die Aufteilung von solchen Kartendiensten in mehrere Dienste.

HTTP Basic Authentication in ArcMap und ArcGIS Pro

Wird ein geschützter Dienst über httpauth in ArcMap oder ArcGIS Pro geladen, schlägt das Login trotz korrekt eingegebenem Nutzernamen und Passwort fehl, sobald Nutzername oder Passwort nicht-ASCII Zeichen, z.B. Umlaute, beinhalten.

ArcGIS Webadaptor mit Namen "rest" oder "services"

Wird der Webadaptor für den ArcGIS Server "rest" oder "services" genannt, z.B. http://[HOST]/rest/rest/services oder http://[HOST]/services/rest/services, kann der ArcGIS Server nicht durch den security.manager geschützt werden. Wenn der Name "rest" lautet, können keine Rechte angelegt werden, lautet der Name "services" werden keine Rechte durchgesetzt.

ArcGIS Server MapServer /find Operation mit großen Ergebnismengen und räumliche Einschränkungen

In Verbindung mit räumlichen Einschränkungen kann es vorkommen, dass das Ergebnis der MapServer /find Operation nicht alle erwarteten Features enthält. Große Ergebnismengen der /find Operation werden gekappt, sofern diese das serverseitige Limit überschreiten. Räumliche Einschränkungen werden nur auf der gekappten Ergebnismenge angewandt.

Changelog

4.22.3

Fixed Security Issues

SECMAN-2277

Fix CVE-2024-47535

New Features and Improvements

SECMAN-2243

Support newer signing algorithms for SAML workflow

SECMAN-2273

Don’t pollute Administrator web app logs with warning about missing attribute URN

SECMAN-2274

Drop hostname check from IPAndHostnameVerifier

SECMAN-2276

[service.monitor integration] Integrate support for ingest pipelines of service.monitor 4.10

Fixed Issues

SECMAN-2166

Redirection to ADFS IdP fails with message "MSIS7903: The message is not signed with expected signature algorithm"

SECMAN-2265

CVE-2024-47554 reported for commons-io depedency

SECMAN-2268

Password recovery does not send e-mails

SECMAN-2279

Inconsistent database state on failed policy set upload

SECMAN-2280

Log file reports error "Invalid column name 'STATE'" on login

SECMAN-2281

Parsing of layer parameter during a /dynamiclayer/query request with null renderer leads to error

SECMAN-2282

Login with LDAP fails when using "scope = onelevel"

4.22.2

Fixed Security Issues

SECMAN-2262

Names of hidden services might be displayed

New Features and Improvements

SECMAN-2252

Document known issue regarding use of SSO cookie handling with upcoming change in Google Chrome browser

SECMAN-2260

Don’t log stacktrace when XSLT class lookup fails

Fixed Issues

SECMAN-2158

Orphaned entries in POLICY_OBL

SECMAN-2164

Accessing protected WFS that does not support WFS 2.0.0 fails

SECMAN-2172

Raise log level of certificate error messages, such as "time part […​] was out of range"

SECMAN-2215

Creating groups with leading blanks prevents assigned users from signing in

SECMAN-2254

[Gateway] header X-Content-Type-Options:nosniff wrongly added to /gateto endpoint.

SECMAN-2256

WAS creates invalid SAML 1 assertion IDs

SECMAN-2261

GPServer service description not displayed

4.22.1

Fixed Security Issues

SECMAN-2232

Non-literal values are not rejected

SECMAN-2234

Reflected cross-site scripting (XSS)

Fixed Issues

SECMAN-2239

Error when clicking LDAP user node in Administrator UI

4.22.0

Fixed Security Issues

SECMAN-2226

Fix CVE-2023-4218 in Eclipse EMF modules

Fixed Issues

SECMAN-2207

Wrong statement regarding cookie domain setting in product docs

SECMAN-2216

Misleading log messages for SAML2 entity metadata lookup

SECMAN-2225

Wrong LDAP syntax with double brackets

SECMAN-2231

Error "Incomplete service metadata" returned on initial service request