MS11-074: уязвимости в Microsoft SharePoint могут привести к расширению привилегий: 13 сентября 2011 г.

Переводы статьи Переводы статьи
Код статьи: 2451858 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Корпорация Майкрософт выпустила бюллетень по безопасности MS11-074. Чтобы просмотреть его целиком, перейдите на один из указанных ниже веб-сайтов корпорации Майкрософт.

Справка и поддержка по данному обновлению для системы безопасности

Пользователи домашних компьютеров могут получить бесплатную поддержку по телефону (в США и Канаде — по номеру 1-866-PCSAFETY;
номер телефона для своего региона см. на этой странице
) или в местном представительстве корпорации Майкрософт. Дополнительные сведения о том, как связаться с ним для решения проблем с обновлениями для системы безопасности, см. на международном веб-сайте поддержки корпорации Майкрософт:
http://support.microsoft.com/common/international.aspx?ln=ru&rdpath=4
В Северной Америке также можно воспользоваться неограниченной бесплатной поддержкой по электронной почте или через чат. Для этого посетите указанный ниже веб-сайт корпорации Майкрософт.
https://support.microsoft.com/oas/default.aspx?ln=ru&prid=7552&st=1&wfxredirect=1&sd=gn
Корпоративным клиентам поддержка по обновлениям для системы безопасности предоставляется через обычные службы поддержки.

Известные проблемы, связанные с данным обновлением для системы безопасности, и дополнительные сведения о нем

В указанных ниже статьях содержатся дополнительные сведения об этом обновлении для системы безопасности для отдельных версий продукта. Кроме того, в них могут быть указаны сведения об известных проблемах. В этом случае известные проблемы перечисляются после ссылки на статью.
  • 2493987 MS11-074: обновление для системы безопасности служб Windows SharePoint Services 3.0, 13 сентября 2011 г.

    Известные проблемы, связанные с обновлением для системы безопасности 2493987
    • Известная проблема 1

      Симптом
      Если мастер настройки продуктов и технологий SharePoint не завершает задачу успешно, это может привести к рассогласованию состояния SharePoint. Центр администрирования или узел SharePoint могут оказаться недоступны. Кроме того, может появиться одно из приведенных ниже сообщений об ошибке.

      Сообщение об ошибке 1

      Ошибка сервера: http://go.microsoft.com/fwlink?LinkID=96177

      Сообщение об ошибке 2

      HTTP 404 Не найдено

      Сообщение об ошибке 3

      Не удается подключиться к базе данных конфигурации

      Решение

      Дополнительные сведения о решении этой проблемы см. в следующей статье базы знаний Майкрософт:
      944267 Сведения об устранении типичных ошибок при работе мастера настройки продуктов и технологий SharePoint на компьютере с Windows SharePoint Services 3.0 или SharePoint Server 2007
    • Известная проблема 2

      Проблема

      При попытке открыть веб-сайт SharePoint появляется запрос на прохождение проверки подлинности. Системы Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2008 включают функцию проверки обратной связи, которая предотвращает атаки, основанные на отражении. По этой причине если полное доменное имя или пользовательский заголовок узла отличается от имени локального компьютера, происходит сбой проверки подлинности.

      Метод обхода

      Эту проблему можно временно решить двумя указанными ниже способами, выбор между которыми зависит от конкретной ситуации.

      Важно! В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Их неправильное изменение может привести к возникновению серьезных проблем, поэтому следует строго соблюдать инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
      322756 Создание резервной копии и восстановление реестра Windows XP

      Способ 1. Указание имен узлов (предпочтительно при использовании проверки подлинности NTLM)

      Чтобы указать имена узлов, которые сопоставлены с петлевым адресом и могут подключаться к веб-сайтам на локальном компьютере, выполните описанные ниже действия.
      1. Присвойте параметру реестра DisableStrictNameChecking значение 1. Дополнительные сведения см. в указанной ниже статье базы знаний Майкрософт.
        281308 Подключение с общим доступом по протоколу SMB на компьютерах с операционной системой Windows 2000 или Windows Server 2003 не всегда работает с псевдонимом
      2. Откройте меню Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
      3. Найдите и выделите указанный ниже раздел реестра.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
      4. Щелкните правой кнопкой мыши раздел MSV1_0, выберите команду Создать и пункт Мультистроковый параметр.
      5. Введите имя BackConnectionHostNames и нажмите клавишу ВВОД.
      6. Щелкните правой кнопкой мыши параметр BackConnectionHostNames и выберите команду Изменить.
      7. В поле Значение введите имена узлов для сайтов, размещенных на локальном компьютере, и нажмите кнопку ОК.
      8. Закройте редактор реестра и перезапустите службу IISAdmin.

      Способ 2. Отключение проверки замыкания на себя (не рекомендовано)

      Внимание! Выполнение описанных ниже действий повышает степень уязвимости компьютера или сети для атак злоумышленников или проникновения вирусов и других вредоносных программ. Корпорация Майкрософт не рекомендует применять данное обходное решение, но предоставляет эти сведения, чтобы пользователи могли делать это на свое усмотрение. Они несут полную ответственность за результаты таких действий.

      Второй способ заключается в отключении проверки замыкания на себя с помощью параметра реестра DisableLoopbackCheck.

      Чтобы изменить раздел реестра DisableLoopbackCheck, выполните указанные ниже действия.
      1. Присвойте параметру реестра DisableStrictNameChecking значение 1. Дополнительные сведения см. в указанной ниже статье базы знаний Майкрософт.
        281308 Подключение с общим доступом по протоколу SMB на компьютерах с операционной системой Windows 2000 или Windows Server 2003 не всегда работает с псевдонимом
      2. Откройте меню Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
      3. Найдите и выделите указанный ниже раздел реестра.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
      4. Щелкните правой кнопкой мыши раздел Lsa, выберите команду Создать, а затем — Параметр DWORD.
      5. Введите имя DisableLoopbackCheck и нажмите клавишу ВВОД.
      6. Щелкните правой кнопкой мыши параметр DisableLoopbackCheck и выберите команду Изменить.
      7. В поле Значение введите 1, а затем нажмите кнопку ОК.
      8. Закройте редактор реестра и перезагрузите компьютер.
      Дополнительные сведения см. в указанной ниже статье базы знаний Майкрософт.
      926642 После установки пакета обновления 1 (SP1) для Windows Server 2003 при попытке получить локальный доступ к серверу с помощью его полного доменного имени или псевдонима CNAME появляется сообщение об ошибке «Доступ запрещен» или «Ни одна из служб доступа к сети не смогла обработать заданный сетевой путь»
    • Известная проблема 3

      После установки этого обновления для системы безопасности на сервере Windows Small Business Server со службами Windows SharePoint Services 3.0 в некоторых сценариях страницы SharePoint Companyweb и центра администрирования могут оказаться недоступны. Дополнительные сведения об этой проблеме и способе ее устранения см. на веб-странице Microsoft TechNet по следующей ссылке:
      http://blogs.technet.com/b/sbs/archive/2010/06/18/companyweb-and-sharepoint-central-admin-not-accessible-after-installing-kb983444.aspx
    • Известная проблема 4

      После установки этого обновления для системы безопасности в списке Установленные обновления может быть несколько записей о нем. Это связано с тем, что обновление применяется к нескольким приложениям Microsoft Office.
  • 2494001 MS11-074: обновление для системы безопасности Microsoft SharePoint Foundation 2010, 13 сентября 2011 г.

    Известные проблемы, связанные с обновлением для системы безопасности 2494001
    • Браузерные формы InfoPath с полями выбора людей и групп, привязанными к элементам управления из нескольких представлений, не сохраняют значения при переключении представлений.

      Чтобы обойти эту проблему, можно установить августовское накопительное обновление SharePoint:
      2553031 Описание исправления для SharePoint Foundation 2010 (Sts-x-none.msp) от 30 августа 2011 г.
  • 2494007 MS11-074: Описание обновления безопасности для служб Windows SharePoint Services 2,0: 13 сентября 2011 г.

    Известные проблемы, связанные с обновлением для системы безопасности 2494007
    • После установки обновления для системы безопасности 2494007 в веб-браузере могут перестать отображаться некоторые веб-части представления данных. Если это происходит, может появляться сообщение об ошибке, подобное приведенному ниже.

      Не удается отобразить эту веб-часть. Чтобы устранить эту проблему, откройте веб-страницу в редакторе HTML, совместимом с Windows SharePoint Services, например во FrontPage. Если устранить проблему не удалось, обратитесь к администратору веб-сервера.


      Дополнительные сведения об этой известной проблеме см. в следующей статье базы знаний Майкрософт:
      2623732 Обновление для системы безопасности MS11-074 для WSS 2.0/SPS 2003 нарушает работу веб-части представления данных
  • 2494022 MS11-074: обновление для системы безопасности Office SharePoint Server 2010 (osrchwfe): 13 сентября 2011 г.
  • 2508964 MS11-074: описание обновления для системы безопасности Microsoft Office SharePoint Server 2007 (coreserver.msp): 13 сентября 2011 г.

    Известные проблемы, связанные с обновлением для системы безопасности 2508964
    • Известная проблема 1

      Симптом
      Если мастер настройки продуктов и технологий SharePoint не завершает задачу успешно, это может привести к рассогласованию состояния SharePoint. Центр администрирования или узел SharePoint могут оказаться недоступны. Кроме того, может появиться одно из приведенных ниже сообщений об ошибке.

      Сообщение об ошибке 1

      Ошибка сервера: http://go.microsoft.com/fwlink?LinkID=96177

      Сообщение об ошибке 2

      HTTP 404 Не найдено

      Сообщение об ошибке 3

      Не удается подключиться к базе данных конфигурации

      Решение

      Дополнительные сведения о решении этой проблемы см. в следующей статье базы знаний Майкрософт:
      944267 Сведения об устранении типичных ошибок при работе мастера настройки продуктов и технологий SharePoint на компьютере с Windows SharePoint Services 3.0 или SharePoint Server 2007
    • Известная проблема 2

      Проблема

      При попытке открыть веб-сайт SharePoint появляется запрос на прохождение проверки подлинности. Системы Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2008 включают функцию проверки обратной связи, которая предотвращает атаки, основанные на отражении. По этой причине если полное доменное имя или пользовательский заголовок узла отличается от имени локального компьютера, происходит сбой проверки подлинности.

      Метод обхода

      Эту проблему можно временно решить двумя указанными ниже способами, выбор между которыми зависит от конкретной ситуации.

      Важно! В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Их неправильное изменение может привести к возникновению серьезных проблем, поэтому следует строго соблюдать инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
      322756 Создание резервной копии и восстановление реестра Windows XP

      Способ 1. Указание имен узлов (предпочтительно при использовании проверки подлинности NTLM)

      Чтобы указать имена узлов, которые сопоставлены с петлевым адресом и могут подключаться к веб-сайтам на локальном компьютере, выполните описанные ниже действия.
      1. Присвойте параметру реестра DisableStrictNameChecking значение 1. Дополнительные сведения см. в указанной ниже статье базы знаний Майкрософт.
        281308 Подключение с общим доступом по протоколу SMB на компьютерах с операционной системой Windows 2000 или Windows Server 2003 не всегда работает с псевдонимом
      2. Откройте меню Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
      3. Найдите и выделите указанный ниже раздел реестра.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
      4. Щелкните правой кнопкой мыши раздел MSV1_0, выберите команду Создать и пункт Мультистроковый параметр.
      5. Введите имя BackConnectionHostNames и нажмите клавишу ВВОД.
      6. Щелкните правой кнопкой мыши параметр BackConnectionHostNames и выберите команду Изменить.
      7. В поле Значение введите имена узлов для сайтов, размещенных на локальном компьютере, и нажмите кнопку ОК.
      8. Закройте редактор реестра и перезапустите службу IISAdmin.

      Способ 2. Отключение проверки замыкания на себя (не рекомендовано)

      Внимание! Выполнение описанных ниже действий повышает степень уязвимости компьютера или сети для атак злоумышленников или проникновения вирусов и других вредоносных программ. Корпорация Майкрософт не рекомендует применять данное обходное решение, но предоставляет эти сведения, чтобы пользователи могли делать это на свое усмотрение. Они несут полную ответственность за результаты таких действий.

      Второй способ заключается в отключении проверки замыкания на себя с помощью параметра реестра DisableLoopbackCheck.

      Чтобы изменить раздел реестра DisableLoopbackCheck, выполните указанные ниже действия.
      1. Присвойте параметру реестра DisableStrictNameChecking значение 1. Дополнительные сведения см. в указанной ниже статье базы знаний Майкрософт.
        281308 Подключение с общим доступом по протоколу SMB на компьютерах с операционной системой Windows 2000 или Windows Server 2003 не всегда работает с псевдонимом
      2. Откройте меню Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
      3. Найдите и выделите указанный ниже раздел реестра.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
      4. Щелкните правой кнопкой мыши раздел Lsa, выберите команду Создать, а затем — Параметр DWORD.
      5. Введите имя DisableLoopbackCheck и нажмите клавишу ВВОД.
      6. Щелкните правой кнопкой мыши параметр DisableLoopbackCheck и выберите команду Изменить.
      7. В поле Значение введите 1, а затем нажмите кнопку ОК.
      8. Закройте редактор реестра и перезагрузите компьютер.
      Дополнительные сведения см. в указанной ниже статье базы знаний Майкрософт.
      926642 После установки пакета обновления 1 (SP1) для Windows Server 2003 при попытке получить локальный доступ к серверу с помощью его полного доменного имени или псевдонима CNAME появляется сообщение об ошибке «Доступ запрещен» или «Ни одна из служб доступа к сети не смогла обработать заданный сетевой путь»
    • Известная проблема 3

      После установки этого обновления для системы безопасности на сервере Windows Small Business Server с серверным приложением Office SharePoint Server 2007 в некоторых сценариях страницы SharePoint Companyweb и центра администрирования могут быть недоступны. Дополнительные сведения об этой проблеме и способе ее устранения см. на веб-странице Microsoft TechNet по следующей ссылке:
      http://blogs.technet.com/b/sbs/archive/2010/06/18/companyweb-and-sharepoint-central-admin-not-accessible-after-installing-kb983444.aspx
    • Известная проблема 4

      После установки этого обновления для системы безопасности в списке Установленные обновления может быть несколько записей о нем. Это связано с тем, что обновление применяется к нескольким приложениям Microsoft Office.
  • 2508965 MS11-074: Описание обновления для системы безопасности Groove Server 2010 (ems.msp, emsmui.msp, grs.msp): 13 сентября 2011 г.

    Известные проблемы, связанные с обновлением для системы безопасности 2508965
    • Даже в случае успешной установки запись этого обновления для системы безопасности может отсутствовать в разделе "Установка и удаление программ".

      Чтобы определить, установлено ли это обновление в системе, сохраните приведенный ниже скрипт Visual Basic с именем "Groove_KB2508965_Check.vbs" и запустите его с правами администратора. Отобразится диалоговое окно с результатами проверки.
      Set msi = CreateObject("WindowsInstaller.Installer")

      sMspTargets = "{90140000-1106-0000-1000-0000000FF1CE};{90140000-1109-0000-1000-0000000FF1CE}"

      sResult = ""

      For Each prod in msi.Products

          If InStr(sMspTargets,prod) > 0 Then

              sPatchCode = "{6EA8F18D-803D-4CB7-AC71-F674B7500670}"

              If prod = "{90140000-1109-0000-1000-0000000FF1CE}" Then sPatchCode = "{ACF593FE-E06A-44AB-8872-A8C1BDDE93F5}"

              fMspInstalled = False

              Set Patches = msi.PatchesEx(prod,"",4,3)

              For Each msp in Patches

                  If msp.PatchCode = sPatchCode Then

                      sResult = sResult & msi.ProductInfo(prod,"ProductName") & ": Обновление уже установлено в данной системе." & vbCrLf

                      fMspInstalled = True

                      Exit For

                  End If

              Next

              If Not fMspInstalled Then sResult = sResult & msi.ProductInfo(prod,"ProductName") & ": Обновление не установлено в данной системе." & vbCrLf

      End If

      Next

      If sResult = "" Then sResult = "В системе отсутствуют продукты, на которые влияет этот пакет."MsgBox sResult,,"Обновление для системы безопасности Microsoft Groove Server 2010 (KB2508965)"2508965)"
  • 2552997 MS11-074: описание обновления для системы безопасности Groove 2007 (groove.msp): 13 сентября 2011 г.

    Известные проблемы, связанные с обновлением для системы безопасности 2552997
    • Это обновление для системы безопасности Groove не оставляет записи в списке "Установка и удаление программ". Чтобы узнать, установлено ли обновление, администратор может открыть консоль в диспетчере конфигурации SharePoint.
  • 2552998 MS11-074: Описание обновления для системы безопасности Groove Server 2007 (ems.msp, emsmui.msp): 13 сентября 2011 г.

    Известные проблемы, связанные с обновлением для системы безопасности 2552998
    • Это обновление для системы безопасности Groove не оставляет записи в списке "Установка и удаление программ". Чтобы узнать, установлено ли обновление, администратор может открыть консоль в диспетчере конфигурации SharePoint.
  • 2552999 MS11-074: обновление для системы безопасности Office Groove Server 2007 Data Bridge: 13 сентября 2011 г.

    Известные проблемы, связанные с обновлением для системы безопасности 2552999
    • Это обновление для системы безопасности Groove не оставляет записи в списке "Установка и удаление программ". Чтобы узнать, установлено ли обновление, администратор может открыть консоль в диспетчере конфигурации SharePoint.
    • Появляется следующее сообщение.
      После установки обновления запустите мастер настройки продуктов и технологий SharePoint, чтобы завершить процесс обновления.
      Это сообщение возникает по ошибке, проблемы не существует.
  • 2553001 MS11-074: обновление для системы безопасности Office SharePoint Server 2007, 13 сентября 2011 г.
  • 2553002 MS11-074: описание обновления для системы безопасности Office SharePoint Server 2007 для поиска: 13 сентября 2011 г.
  • 2553003 MS11-074: описание обновления для системы безопасности Office SharePoint Server 2007 (dlc): 13 сентября 2011 г.
  • 2553005 MS11-074: описание обновления для системы безопасности Office Forms Server 2007 (ipfs.msp): 13 сентября 2011 г.
  • 2560885 MS11-074: описание обновления для системы безопасности SharePoint Server 2010 (osrv): 13 сентября 2011 г.
  • 2560890 MS11-074: описание обновления для системы безопасности SharePoint Server 2010 (pplwfe): 13 сентября 2011 г.

    Известные проблемы, связанные с обновлением для системы безопасности 2560890:
    • После установки этого обновления может перестать работать синхронизация профилей, и в средстве просмотра событий может появиться следующее сообщение об ошибке:
      Сервер обнаружил непредвиденную ошибку и остановил работу. 
      "BAIL: MMS(2532): storeimp.cpp(308): 0x80230443 (Сбой запуска службы. Не удается открыть базу данных службы синхронизации FIM, так как версия схемы существующей базы данных не соответствует требуемой.)
      Решение

      Для восстановления синхронизации профилей следует перезапустить службу синхронизации профилей пользователей.
      1. Откройте раздел Центр администрирования.
      2. Выберите пункт Управление службами в разделе Параметры системы.
      3. Найдите в списке служб пункт Служба синхронизации профилей пользователей и выберите команду Остановить, если она запущена. Нажмите кнопку Запустить, а затем укажите учетные данные для запуска службы синхронизации профилей пользователей.
  • 2566445 MS11-074: описание обновления для системы безопасности SharePoint Workspace 2010: 13 сентября 2011 г.
  • 2566449 MS11-074: описание обновления для системы безопасности для Microsoft Office 2010 Web Apps: 13 сентября 2011 г.
  • 2566450MS11-074: обновление для системы безопасности Microsoft Word Online 2010: 13 сентября 2011 г.
  • 2566456MS11-074: описание обновления для системы безопасности Microsoft SharePoint Server 2010: 13 сентября 2011 г.
  • 2566954 MS11-074: описание обновления для системы безопасности SharePoint Server 2010 (dlc): 13 сентября 2011 г.
  • 2566958 MS11-074: описание обновления для системы безопасности SharePoint Server 2010 (ppsmamui): 13 сентября 2011 г.
  • 2566960 MS11-074: описание обновления для системы безопасности SharePoint Server 2010 (wosrv): 13 сентября 2011 г.
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 2451858 - Последний отзыв: 24 апреля 2014 г. - Revision: 2.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft SharePoint Foundation 2010
  • Microsoft SharePoint Server 2010
  • Microsoft Windows SharePoint Services 3.0
  • Microsoft Windows SharePoint Services
  • Microsoft SharePoint Team Services
  • Microsoft Office SharePoint Server
  • Microsoft Office Groove 2007
  • Microsoft Office Groove Server 2007
  • Microsoft Office Groove Server 2007 Data Bridge
  • Microsoft Office Groove Server 2007 Manager
  • Microsoft Groove Server 2010
  • Microsoft Office SharePoint Server 2007
  • Microsoft Office SharePoint Server 2007 for Search (Enterprise Edition)
  • Microsoft Office SharePoint Server 2007 for Search (Standard Edition)
  • Microsoft Office Forms Server 2007
  • Microsoft Word Online
  • Microsoft PowerPoint Online
  • Microsoft Excel Online
  • Microsoft Office Excel Web Access
Ключевые слова: 
kbexpertiseinter kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbfix kbbug kbsurveynew KB2451858

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com