Importante
En este artículo se incluye información que le muestra cómo reducir la configuración de seguridad o cómo desactivar las características de seguridad en un equipo. Puede hacer estos cambios para solucionar de manera alternativa un problema concreto. Pero antes de realizarlos, recomendamos que evalúe los riesgos asociados a esta solución temporal en su entorno concreto. Si decide implementar esta solución alternativa, tome las medidas adicionales oportunas para ayudar a proteger el equipo.
Síntomas
Después de instalar las siguientes actualizaciones de seguridad de septiembre para SharePoint Server, algunas es posible que se bloqueen los métodos del servicio web de páginas de elementos web. Adicionalmente, las etiquetas de eventos "6loz1" o "5mh3d" están registradas en los registros de SharePoint Unified Logging System (ULS).
- Descripción de la actualización de seguridad para SharePoint Foundation 2013: 13 de septiembre de 2022 (KB5002159)
- Descripción de la actualización de seguridad para SharePoint Foundation 2013: 13 de septiembre de 2022 (KB5002267)
- Descripción de la actualización de seguridad del paquete de idioma de SharePoint Enterprise Server 2016: 13 de septiembre de 2022 (KB5002142)
- Descripción de la actualización de seguridad para SharePoint Enterprise Server 2016: 13 de septiembre de 2022 (KB5002269)
- Descripción de la actualización de seguridad para SharePoint Server 2019: 13 de septiembre de 2022 (KB5002258)
- Descripción de la actualización de seguridad para el paquete de idioma de SharePoint Server 2019: 13 de septiembre de 2022 (KB5002257)
- Descripción de la actualización de seguridad para SharePoint Server, edición de suscripción: 13 de septiembre de 2022 (KB5002271)
- Descripción de la actualización de seguridad del paquete de idioma de la edición de suscripción de SharePoint Server: 13 de septiembre de 2022 (KB5002270)
Causa
Para reforzar la seguridad de SharePoint, se han agregado comprobaciones de seguridad mejoradas al método RenderWebPartForEdit para bloquear los controles que contienen el carácter de recorrido de propiedad ". " en sus atributos de forma predeterminada. Esto puede hacer que se bloqueen los métodos de servicio web de páginas de elementos web existentes.
Solución alternativa
Nota
Las características integradas y sus dependencias de SharePoint Server se basan en la configuración predeterminada del archivo web.config. Si su SharePoint Server no tiene ningún código personalizado o componentes implementados, no debería ser necesario introducir ningún cambio en el web.config. Si encuentra características predefinidas que aún se ven afectadas con web.config predeterminadas, abra una incidencia de soporte técnico para que podamos ayudarnos a investigar y solucionar los problemas.
Advertencia
Los elementos SafeControls predeterminados del archivo web.config de SharePoint han pasado por una revisión de seguridad y han establecido su atributo AllowPropertiesTraversal en función de si se consideran seguros para su uso con un carácter de recorrido de propiedad en sus atributos. Los usuarios deberían hacer una revisión de la seguridad antes de establecer cualquier atributo adicional de SafeControls AllowPropertiesTraversal a True, y así asegurarse de que son seguros para su uso con un carácter de recorrido de propiedades en sus valores de atributos.
Para solucionar este problema, desbloquee los controles bloqueados por las comprobaciones de seguridad.
En primer lugar, busque etiquetas de evento quot;6loz1" y "5 mh3d" en los registros ULS de SharePoint. Estas etiquetas de evento contienen información sobre qué controles se bloquearon debido a un carácter de recorrido de propiedad ". " en su valor de atributo. Por ejemplo:
Nota
6loz1 Unsafe control=<TypeName>, <AssemblyName>, <AssemblyVersion>, <AssemblyLanguageSetting>, <AssemblyPublicKey> para tener la propiedad traversal char en el valor del atributo.
A continuación, examine el control bloqueado para asegurarse de que es seguro con un carácter de recorrido de propiedad en el valor del atributo. Si es seguro, busque el control SafeControl> en el <nodo Configuration/SharePoint/SafeControls> del archivo web.config de las aplicaciones web y agregue el atributo AllowPropertiesTraversal="True".< Si no encuentra el SafeControl> para ese control en ese nodo, agregue un <elemento SafeControl> para él con el atributo AllowPropertiesTraversal="True".< A continuación se muestra un ejemplo:
<SafeControl
Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"
Namespace="CustomSolution.AssemblyName.NameSpace"
TypeName="AffectedClass"
AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>