Wichtig: Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfeatures auf einem Computer vorübergehend deaktivieren. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Wir raten Ihnen jedoch, zunächst die Risiken dieser Problemumgehung für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Falls Sie diese Problemumgehung einsetzen, sollten Sie entsprechende Maßnahmen treffen, um Ihren Computer zu schützen.
Problembeschreibung
Nach der Installation der folgenden Sicherheitsupdates vom September für SharePoint Server werden u. U. einige Webpartseiten-Webdienstmethoden blockiert. Darüber hinaus werden die "6loz1"- oder "5mh3d"-Ereignistags in SharePoint ULS-Protokollen (Unified Logging System) protokolliert.
-
Hinweise zum Sicherheitsupdate für SharePoint Foundation 2013: 13. September 2022 (KB5002159)
-
Hinweise zum Sicherheitsupdate für SharePoint Foundation 2013: 13. September 2022 (KB5002267)
-
Hinweise zum Sicherheitsupdate für SharePoint Enterprise Server 2016: 13. September 2022 (KB5002269)
-
Hinweise zum Sicherheitsupdate für SharePoint Server 2019: 13. September 2022 (KB5002258)
Ursache
Um die Sicherheit von SharePoint zu erhöhen, wurden der "RenderWebPartForEdit"-Methode erweiterte Sicherheitsprüfungen hinzugefügt, um standardmäßig Steuerelemente zu blockieren, die das Eigenschaftstraversalzeichen "." in ihren Attributen enthalten. Dies kann dazu führen, dass bestehende Webpartseiten-Webdienstmethoden blockiert werden.
Problemumgehung
Hinweis: Die vorkonfigurierten Out-of-Box-Features und ihre Abhängigkeiten von SharePoint Server basieren auf den Standardeinstellungen in der "web.config"-Datei. Wenn auf Ihrem SharePoint Server kein benutzerdefinierter Code bzw. keine benutzerdefinierten Komponenten bereitgestellt wurden, sollte es nicht erforderlich sein, Änderungen an der "web.config"-Datei vorzunehmen. Wenn Sie auf vorkonfigurierte Features stoßen, die dennoch von den Standardeinstellungen in der "web.config"-Datei betroffen sind, öffnen Sie bitte ein Supportticket, damit wir die Probleme untersuchen und leichter beheben können.
Warnung: Die standardmäßigen SafeControls in der "web.config"-Datei von SharePoint haben eine Sicherheitsüberprüfung durchlaufen, und ihr "AllowPropertiesTraversal"-Attribut wurde basierend darauf festgelegt, ob sie als sicher für die Verwendung mit einem Eigenschaftstraversalzeichen in ihren Attributen gelten. Benutzer sollten eine Sicherheitsüberprüfung durchführen, bevor sie zusätzliche SafeControls "AllowPropertiesTraversal"-Attribute auf "true" festlegen, um sicherzustellen, dass sie für die Verwendung mit einem Eigenschaftstraversalzeichen in ihren Attributwerten sicher sind.
Um dieses Problem zu umgehen, heben Sie die Blockierung von Steuerelementen auf, die durch Features für die Sicherheitsüberprüfung blockiert wurden.
Suchen Sie zunächst nach den Ereignistags "6loz1" und "5mh3d" in den SharePoint ULS-Protokollen. Diese Ereignistags enthalten Informationen darüber, welche Steuerelemente blockiert wurden, weil in ihrem Attributwert das Eigenschaftstraversalzeichen "." enthalten ist. Beispiel:
6loz1 Unsafe control=<TypeName>, <AssemblyName>, <AssemblyVersion>, <AssemblyLanguageSetting>, <AssemblyPublicKey> da Eigenschaftstraversalzeichen in ihrem Attributwert.
Untersuchen Sie als Nächstes das blockierte Steuerelement, um sicherzustellen, dass es mit einem Eigenschaftstraversalzeichen im Attributwert sicher ist. Wenn es sicher ist, suchen Sie im Knoten <Configuration/SharePoint/SafeControls> in der "web.config"-Datei Ihrer Webanwendungen nach dem <SafeControl> für dieses Steuerelement, und fügen Sie ihm das Attribut AllowPropertiesTraversal="True" hinzu. Wenn Sie <SafeControl> für dieses Steuerelement in diesem Knoten nicht finden können, fügen Sie ein <SafeControl>-Element dafür mit dem Attribut AllowPropertiesTraversal="True" hinzu. Es folgt ein Beispiel:
<SafeControl
Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"
Namespace="CustomSolution.AssemblyName.NameSpace"
TypeName="AffectedClass"
AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>
