Zusammenfassung
Mit diesem Sicherheitsupdate wird eine Sicherheitsanfälligkeit in Microsoft SharePoint Server bezüglich Remotecodeausführung behoben. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter Microsoft Common Vulnerabilities and Exposures CVE-2024-21426.
Hinweise:
-
Dies ist Build 16.0.17328.20136 des Sicherheitsupdatepakets.
-
Die endgültige Produktversion von Microsoft SharePoint Server-Abonnementedition muss auf dem Computer installiert sein, damit Sie dieses Sicherheitsupdate anwenden können.
Verbesserungen und Korrekturen
Mit diesem Sicherheitsupdate wird das Featureupdate für die SharePoint Server-Abonnementedition, Version 24H1, eingeführt. Dieses Featureupdate wird in Zukunft in allen öffentlichen Updates für die SharePoint Server-Abonnementedition enthalten sein. Weitere Informationen zu diesem Featureupdate finden Sie unter Neue und verbesserte Features in der SharePoint Server-Abonnementedition, Version 24H1.
Dieses Sicherheitsupdate enthält Verbesserungen und Korrekturen für die folgenden nicht sicherheitsrelevanten Probleme in SharePoint Server-Abonnementedition:
-
Ermöglicht Benutzern, den HTTP-Header der Inhaltssicherheitsrichtlinie (Content Security Policy, CSP) von SharePoint in SharePoint Pages zu deaktivieren. Wenn Sie den SharePoint CSP-HTTP-Header in SharePoint-Seiten nicht aktivieren möchten, können Sie die folgenden Cmdlets in PowerShell ausführen:
Add-PSSnapin Microsoft.SharePoint.PowerShell
$farm = Get-SPFarm
$farm.EnableCSPHeaderForPage = $false
$farm.Update() -
Behebt ein Problem, bei dem das moderne Listen-Webpart einfriert, wenn Sie den Link Alle anzeigen für eine gruppierte Ansicht auswählen, wenn die Website-URL das Apostrophzeichen (') enthält.
-
Behebt ein Problem, bei dem die Schaltfläche „Bearbeiten“ den mehrzeiligen Feldtitel im Bearbeitungsbereich für Listenelemente überlappt, wenn Sie Sprachen mit der Schreibrichtung von rechts nach links (RTL) verwenden.
-
Behebt ein Problem, bei dem die horizontale Navigation der Kommunikationswebsite die aktuelle Website nicht richtig widerspiegelt.
-
Behebt ein Problem, bei dem die Anpassung des SharePoint-Website-Designs das Anmeldeformular um 5 Sekunden verzögert, während das Formular zu laden versucht.
-
Behebt ein Problem, bei dem einfacher Text im Schnellbearbeitungsmodus als Hyperlink gerendert wird.
-
Behebt ein Problem, bei dem die klassische Benutzeroberfläche nicht den korrekten Status einer Unterwebsite anzeigt.
Bekannte Probleme bei diesem Update
-
Nach der Installation dieses Sicherheitsupdates tritt möglicherweise ein Problem auf, bei dem Server einer vorhandenen SharePoint-Farm nicht beitreten können. Weitere Informationen finden Sie unter Hinzufügen eines Servers zu einer SharePoint-Farm nicht möglich, wenn die Farm ein von der Zertifikatverwaltung (KB5037978) verwaltetes Zertifikat enthält.
-
Dieses Sicherheitsupdate führt ebenso eine neuere Version der Microsoft.Owin-Komponente ein. Da in den Web.config-Dateien von SharePoint Server auf die Version dieser Komponente verwiesen wird, müssen Sie eine Updateaktion ausführen, um die Referenz in diesen Web.config-Dateien zu aktualisieren. Wenn Sie dieses Sicherheitsupdate installieren, ohne die Upgradeaktion auszuführen, werden Sie beim Navigieren zu SharePoint-Websites die folgende Fehlermeldung empfangen:
Die Datei oder Assembly „Microsoft.Owin, Version=3.0.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35“ oder eine ihrer Abhängigkeiten konnte nicht geladen werden. Die angegebene Datei wurde nicht gefunden.
Führen Sie nach der Installation dieses Sicherheitsupdates die Upgradeaktion mit einer der folgenden Methoden aus:
-
Starten Sie den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien (PSConfigUI.exe), und führen Sie ein Upgrade durch.
-
Führen Sie das Befehlszeilentool des Konfigurationsassistenten für SharePoint-Produkte (PSCONFIG.EXE) aus:
PSCONFIG.EXE -cmd secureresources -cmd services -install -cmd installfeatures -cmd applicationcontent -install -cmd upgrade -inplace b2b -wait -
Führen Sie die folgenden PowerShell-Befehle aus:
Initialize-SPResourceSecurity
Install-SPService
Install-SPFeature -AllExistingFeatures
Install-SPApplicationContent
Upgrade-SPFarm
Nachdem Sie diese Upgradeaktion ausgeführt haben, wird die Fehlermeldung nicht mehr angezeigt.
Dieses Verhalten ist beabsichtigt, da die neue Komponentenversion in den Web.config-Dateien von SharePoint Server registriert werden muss.
Dieses Problem wirkt sich auf die Fähigkeit von Benutzern aus, „Zero Downtime Patching“ (ZDP) durchzuführen, wie in SharePoint Server zero downtime patching steps beschrieben. Dies liegt daran, dass auf SharePoint-Websites erst zugegriffen werden kann, wenn die Upgradeaktion ausgeführt wird. Benutzer sollten darauf vorbereitet sein, das Update während eines Wartungsfensters zu installieren, wenn eine Downtime akzeptabel ist.
Alternativ können Benutzer eine Downtime vermeiden, indem sie die Datei Web.config für jede ihrer Webanwendungen unmittelbar nach der Installation des Updates auf einem bestimmten Server und vor der Rückkehr des Servers in die Lastenausgleichsrotation manuell bearbeiten. Gehen Sie hierzu wie folgt vor:
-
Suchen Sie die folgenden Zeilen in der Konfiguration > Runtime > AssemblyBinding-Abschnitt der Web.config-Datei:
<dependentAssembly>
<assemblyIdentity name="Microsoft.Owin" publicKeyToken="31bf3856ad364e35" culture="neutral" />
<bindingRedirect oldVersion="0.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
</dependentAssembly-> -
Ersetzen Sie den gefundenen Text durch die folgenden Zeilen:
<dependentAssembly>
<assemblyIdentity name="Microsoft.Owin" publicKeyToken="31bf3856ad364e35" culture="neutral" />
<bindingRedirect oldVersion="0.0.0.0-4.2.2.0" newVersion="4.2.2.0" />
</dependentAssembly->
Nachdem das Update auf allen Servern installiert wurde, können Benutzer die Upgradeaktion ausführen. Das manuelle Bearbeiten der Web.config-Datei beeinträchtigt die Upgradeaktion nicht.
-
Abrufen und Installieren des Updates
Methode 1: Microsoft Update
Dieses Update ist über Microsoft Update verfügbar. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zum automatischen Abrufen von Sicherheitsupdates finden Sie unter Windows Update: FAQ.
Methode 2: Microsoft Update-Katalog
Um das eigenständige Paket für dieses Update abzurufen, wechseln Sie zur Website des Microsoft Update-Katalogs.
Methode 3: Microsoft Download Center
Sie können das eigenständige Updatepaket über das Microsoft Download Center beziehen. Folgen Sie den Installationsanweisungen auf der Downloadseite, um das Update zu installieren.
Weitere Informationen
Informationen zur Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung dieses Updates finden Sie unter Bereitstellungen – Leitfaden für Sicherheitsupdates.
Informationen über ersetztes Sicherheitsupdate
Dieses Sicherheitsupdate ersetzt das zuvor veröffentlichte Sicherheitsupdate 5002540.
Dateihashinformationen
File name |
SHA256 hash |
---|---|
uber-subscription-kb5002564-fullfile-x64-glb.exe |
F4E1747B580FCF13385E3E51BF8F115A965425788CC1B681080F9EF92D8D0ECD |
Dateiinformationen
Laden Sie die Liste der Dateien herunter, die im Sicherheitsupdate 5002564enthalten sind.
Informationen zum Schutz und zur Sicherheit
Schützen Sie sich online: Support von Windows-Sicherheit
Erfahren Sie, wie wir vor Cyberbedrohungen schützen: Microsoft Security
Änderungsverlauf
In der folgenden Tabelle sind einige der wichtigsten Änderungen an diesem Thema zusammengefasst.
Datum |
Beschreibung |
---|---|
20. März 2024 |
Es wurde ein Abschnitt „Bekanntes Problem in diesem Update“ hinzugefügt, um ein Problem zu beschreiben, das bei Benutzern möglicherweise auftritt. |
9. April 2024 |
Ein neues Element wurde zum Abschnitt “Bekannte Probleme in diesem Update“ hinzugefügt (Server können nicht verknüpft werden). |