Important : Cet article contient des informations qui vous indiquent comment réduire les paramètres de sécurité ou désactiver les fonctionnalités de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour contourner un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.
Symptômes
Après avoir installé les mises à jour de sécurité du mois de septembre suivantes pour SharePoint Server, certaines méthodes du service Web Pages de composants WebPart peuvent être bloquées. En outre, les balises d’événement « 6loz1 » ou « 5mh3d » sont enregistrées dans le s journaux Service ULS (Unified Logging Service) de SharePoint.
Cause
Pour renforcer la sécurité de SharePoint, des vérifications de sécurité étendues ont été ajoutées à la méthode RenderWebPartForEdit pour bloquer les contrôles qui contiennent le caractère de traversée de propriété « . » dans leurs attributs par défaut. Cet ajout peut entraîner le blocage des méthodes du service Web Pages de composants WebPart existantes.
Solution de contournement
Remarque : Les fonctionnalités prêtes à l’emploi et leurs dépendances de SharePoint Server dépendent des paramètres par défaut dans le fichier web.config. Si votre serveur SharePoint Server n’a pas de code ou des composants personnalisés déployés, il ne doit pas être nécessaire d’introduire des modifications dans le fichier web.config. Si vous trouvez des fonctionnalités prêtes à l’emploi qui sont toujours affectées par le fichier web.config par défaut, ouvrez un ticket de support pour nous permettre d’examiner et de résoudre les problèmes.
Avertissement : Les éléments SafeControls par défaut dans le fichier web.config de SharePoint ont fait l’objet d’un examen de sécurité et leur attribut AllowPropertiesTraversal a été défini selon qu’ils sont considérés comme sûrs pour une utilisation avec un caractère de traversée de propriété dans leurs attributs. Les utilisateurs doivent effectuer un examen de sécurité avant de définir les attributs SafeControls AllowPropertiesTraversal supplémentaires sur true pour s’assurer qu’ils sont sûrs pour une utilisation avec un caractère de traversée de propriété dans leurs valeurs d’attribut.
Pour contourner ce problème, débloquez les contrôles bloqués par les contrôles de sécurité.
Tout d’abord, recherchez les étiquettes d’événement «ˆ6loz1 » et « 5mh3d » dans les journaux service ULS (Unified Logging Service) de SharePoint. Ces balises d’événement contiennent des informations sur les contrôles qui ont été bloqués en raison de la présence d’un caractère de traversée de propriété « . » dans leur valeur d’attribut. Par exemple :
6loz1 Unsafe control=<TypeName>, <AssemblyName>, <AssemblyVersion>, <AssemblyLanguageSetting>, <AssemblyPublicKey> pour avoir la traversée de propriété char dans la valeur d’attribut.
Examinez ensuite le contrôle bloqué pour vérifier qu’il est sécurisé avec un caractère de traversée de propriété dans la valeur d’attribut. S’il est sécurisé, recherchez l’élément <SafeControl> pour ce contrôle dans le nœud <Configuration/SharePoint/SafeControls> dans le fichier web.config de vos applications web, puis ajoutez-y l’attribut AllowPropertiesTraversal="True". Si vous ne trouvez pas l’élément <SafeControl> pour ce contrôle dans le nœud, ajoutez un élément <SafeControl> pour celui-ci avec l’attribut AllowPropertiesTraversal="True". Voici un exemple :
<SafeControl
Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"
Namespace="CustomSolution.AssemblyName.NameSpace"
TypeName="AffectedClass"
AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>
