Vulnerabilidad de scripting entre sitios en el cliente web de Microsoft Dynamics NAV 2013 R2

Resumen

Existe una vulnerabilidad de scripting entre sitios cuando Microsoft Dynamics NAV 2013 R2 no corrige correctamente las solicitudes web especialmente diseñadas en un cliente web de Dynamics NAV afectado. Un atacante autenticado podría explotar esta vulnerabilidad enviando una solicitud especialmente diseñada a un cliente web de Dynamics NAV afectado. Consulte CVE-2018-8651 para obtener más información.

Información de implementación

Esta actualización está basada en la actualización acumulativa más reciente de Dynamics NAV 2013 R2 (CU51, compilación 49751). Por lo tanto, es necesario implementar dicha actualización antes de implementar esta.

Este paquete de actualización contiene el cliente web de Dynamics NAV, que se debe implementar al copiar los archivos proporcionados en la carpeta Dynamics NAV Web Site.

Cómo descargar el paquete de actualización

Puede obtener el paquete de actualización a través del Centro de descarga de Microsoft.

Cómo implementar el paquete de actualización

1. Descargue el paquete de actualización. Contiene una carpeta denominada "WEB CLIENT".

2. Busque la carpeta en la que instaló el cliente web de Dynamics NAV (normalmente, se encuentra en la carpeta C:\inetpub\wwwroot\<nombreDeInstancia>\WebClient).

   1. Abra el Administrador de Internet Information Services (IIS):

   2. Seleccione Sitios > Sitio web predeterminado > Cliente web de Microsoft Dynamics NAV 2013 R2 > DynamicsNAV71.

   3. Haga clic derecho en el sitio de la carpeta DynamicsNAV71 y seleccione Explorar.

   4. Abra la carpeta WebClient.

3. Detenga la instancia de Internet Information Server que está ejecutando al cliente web.

4. Copie el contexto de la carpeta WEB CLIENT que descargó en el paso 1 y péguelo en la carpeta WebClient que abrió en la sección d del paso 2.

5. Vuelva a iniciar la instancia de Internet Information Server.
   
   Se ha implementado el paquete de actualización.

Más información

Cuando inicie el cliente web de Dynamics NAV, recibirá una advertencia que indica que el servidor y el cliente no tienen la misma versión. Este es un comportamiento esperado debido a la nueva versión del cliente web de Dynamics NAV. Para evitar que se muestre esta advertencia a los usuarios del cliente web, puede deshabilitar la advertencia en el archivo de configuración del servidor. Para ello, siga estos pasos:

1. Abra la administración de Microsoft Dynamics NAV 2013 R2 (complemento de la consola de administración).

2. Desde la raíz de consola, busque y expanda Microsoft Dynamics NAV > DynamicsNAV71 <Nombre de la instancia de servidor>.

3. La primera opción de configuración en la ficha desplegable General se denomina "build restriction" (restricción de compilación) y el valor predeterminado es WarnClient. Configúrelo como AlwaysConnect.

4. Seleccione el botón Editar y cambie el valor.

5. Seleccione el botón Guardar y, luego, haga clic en Aceptar cuando se muestre el mensaje "El nuevo valor de configuración no surtirá efecto hasta que el servicio se detenga y se reinicie".

6. Reinicie el servidor con los siguientes pasos:

   1. Seleccione Raíz de consola > Microsoft Dynamics NAV en el panel derecho de la consola de administración.

   2. Seleccione el servicio (DynamicsNAV71) en el panel central de la consola.

   3. Al seleccionar el panel derecho de la consola, se mostrará una opción para reiniciar el servidor. Seleccione Aceptar y el servidor se reiniciará.