זרימות עבודה של SharePoint מפסיקות לפעול לאחר התקנת עדכוני אבטחה של .NET עבור CVE-2018-8421

תופעות

לאחר התקנת אחד מעדכוני האבטחה של office .net Framework של ספטמבר 2018 כדי לפתור פגיעות של ביצוע קוד מרוחק CVE-2018-8421 (.net framework), זרימות עבודה של SharePoint מוכנות להפסיק את העבודה. כאשר בעיה זו מתרחשת, נרשם ערך שגיאה הדומה להודעה הבאה:

<Date> <Time> w3wp.exe (0x1868) 0x22FC SharePoint Foundation Workflow Infrastructure 72fs Unexpected RunWorkflow: Microsoft.SharePoint.SPException: <Error><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1"…

ערך השגיאה מציע ש -System. מקטע codedom. CodeBinaryOperatorExpression אינו כלול בסוגים המורשים.

לקבלת מידע נוסף אודות עדכוני האבטחה של ספטמבר .NET, עבור לדף הבלוג של Microsoft .net זה.

סיבה

תשתית של זרימת עבודה (WF) פועלת באמצעות זרימות עבודה רק כאשר כל הסוגים וההרכבות הניזונים מורשים בקובץ .NET config (או מתווספים באופן מפורש באמצעות קוד) בעץ הבא:

<System.Workflow.ComponentModel.WorkflowCompiler>

עם זאת, לאחר העדכון, סוגים מסוימים שבהם נעשה שימוש בזרימות עבודה מוכנות לשימוש ב-SharePoint שאינם נחוצים בעבר נדרשות כעת.

פתרון

כדי לפתור בעיה זו, החל את העדכונים המתאימים של האבטחה והאבטחה מתוך מאמרי מאגר הידע הבאים:

4461501 תיאור של עדכון אבטחה עבור SharePoint Enterprise Server 2016:13 בנובמבר 2018 4461508 נובמבר 13, 2018, עדכון מצטבר עבור SharePoint Foundation 2013 (KB4461508) 4461510 נובמבר 13, 2018, עדכון מצטבר עבור SharePoint Enterprise Server 2013 (KB4461510) 4011713 נובמבר 13, 2018, עדכון עבור SharePoint Foundation 2010 (KB4011713) 4461528 נובמבר 13, 2018, עדכון מצטבר עבור SharePoint Server 2010 (KB4461528)

הערות

לאחר התקנת העדכון, יש להפעיל את אשף קביעת התצורה של מוצרי SharePoint כדי להחיל את התיקון במלואו.
ייתכן שחלק מפעולות זרימת העבודה של ספקים חיצוניים או מותאמים אישית יהיו בעלי יחסי תלות נוספים. אם אתה נתקל באופן פעולה הדומה לבעיה זו, אך אינו נדון במאמר זה, עיין במפתח הפעולה של זרימת העבודה לקבלת סיוע.

פתרון

כדי לעקוף בעיה זו, הוסף את הסוגים הדרושים באופן מפורש לקובץ Web. config של כל היישומים. למרות שהשלבים הידניים מוצגים, מומלץ להשתמש בשיטת הסקריפט.

כדי לפתור בעיה זו, הוסף באופן מפורש את הסוגים הדרושים לקבצי web. config של כל היישומים.

עבור SharePoint 2013 וגירסאות מתקדמות יותר

עבור SharePoint 2013 וגירסאות מתקדמות יותר, הוסף את השורות הבאות:

עבור גירסאות SharePoint הקודמות ל-SharePoint 2013

עבור גירסאות SharePoint הקודמות ל-2013, הוסף את השורות הבאות במקום זאת:

מומלץ להפעיל את הסקריפט הבא במקום לשנות באופן ישיר קבצים קיימים.

הערהייתכן שחלק ממנועי זרימת העבודה של ספקים חיצוניים ידרשו הוספה של סוגים נוספים. במקרה זה, פנה לספק לקבלת מידע אודות הסוגים הדרושים ולאחר מכן התאם את קובץ ה-script בהתאם.

הסקריפט הבא משנה את Web. config עבור כל יישומי האינטרנט כדי להוסיף את הערכים הדרושים. קובץ script זה מוסיף סוגים אלה עבור יישומי אינטרנט קיימים ועבור יישומים שנוצרים לאחר הפעלת קובץ ה-script. קובץ ה-script אמור לפעול פעם אחת בלבד בכל שרת חזיתי של אינטרנט בחווה (הוא יעדכן את כל השרתים).

This script adds the entries to all web.config files for all web applications in the farm.

Run this script as Farm Administrator in one of the WFEs.

This script has to run only one time.

SUMMARY:

This script uses the native SharePoint SPWebConfigModification API to deploy new updates to the web.config file for each web application on each server in the farm. Servers that are added at a later date will also get the updates applied because the API configuration is persisted in the config database. This API does not update the web.config for the central administration web application.

If you are running workflows on the central admin web application, you will have to manually update the web.config by using the steps in the referenced blog.

==============================================================

Add-PSSnapin Microsoft.SharePoint.PowerShell -ErrorAction SilentlyContinue | Out-Null

function Add-CodeDomAuthorizedType

{

.Synopsis

Adds the necessary authorizedType elements to all web.config files for all non-central admin web applications

.DESCRIPTION

Adds the necessary authorizedType elements to all web.config files for all non-central admin web applications

.EXAMPLE

Add-CodeDomAuthorizedType

[CmdletBinding()]

param

(

)

begin

{

$farmMajorVersion = (Get-SPFarm -Verbose:$false ).BuildVersion.Major

$contentService = [Microsoft.SharePoint.Administration.SPWebService]::ContentService

$typeNames = @( "CodeBinaryOperatorExpression", "CodePrimitiveExpression", "CodeMethodInvokeExpression", "CodeMethodReferenceExpression", "CodeFieldReferenceExpression","CodeThisReferenceExpression", "CodePropertyReferenceExpression")

}

process

{

if( @($contentService.WebConfigModifications | ? { $_.Name -eq "NetFrameworkAuthorizedTypeUpdate" }).Count -gt 0 )

{

Write-Warning "Existing NetFrameworkAuthorizedTypeUpdate entries found, this script has to be run only one time per farm."

return

}

if( $farmMajorVersion -le 14 ) # 2010, 2007

{

foreach( $typeName in $typeNames )

{

# System, Version=2.0.0.0

$netFrameworkConfig = New-Object Microsoft.SharePoint.Administration.SPWebConfigModification

$netFrameworkConfig.Path = "configuration/System.Workflow.ComponentModel.WorkflowCompiler/authorizedTypes"

$netFrameworkConfig.Name = "authorizedType[@Assembly='System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'][@Namespace='System.CodeDom'][@TypeName='{0}'][@Authorized='True']" -f $typeName

$netFrameworkConfig.Owner = "NetFrameworkAuthorizedTypeUpdate"

$netFrameworkConfig.Sequence = 0

$netFrameworkConfig.Type = [Microsoft.SharePoint.Administration.SPWebConfigModification+SPWebConfigModificationType]::EnsureChildNode

$netFrameworkConfig.Value = '<authorizedType Assembly="System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" Namespace="System.CodeDom" TypeName="{0}" Authorized="True"/>' -f $typeName

$contentService.WebConfigModifications.Add($netFrameworkConfig);

}

else # 2013+

{

foreach( $typeName in $typeNames )

{

# System, Version=4.0.0.0

$netFrameworkConfig = New-Object Microsoft.SharePoint.Administration.SPWebConfigModification

$netFrameworkConfig.Path = "configuration/System.Workflow.ComponentModel.WorkflowCompiler/authorizedTypes/targetFx"

$netFrameworkConfig.Name = "authorizedType[@Assembly='System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'][@Namespace='System.CodeDom'][@TypeName='{0}'][@Authorized='True']" -f $typeName

$netFrameworkConfig.Owner = "NetFrameworkAuthorizedTypeUpdate"

$netFrameworkConfig.Sequence = 0

$netFrameworkConfig.Type = [Microsoft.SharePoint.Administration.SPWebConfigModification+SPWebConfigModificationType]::EnsureChildNode

$netFrameworkConfig.Value = '<authorizedType Assembly="System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" Namespace="System.CodeDom" TypeName="{0}" Authorized="True"/>' -f $typeName

$contentService.WebConfigModifications.Add($netFrameworkConfig);

}

Write-Verbose "Updating web.configs"

$contentService.Update()

$contentService.ApplyWebConfigModifications();

}

end

{

}

function Remove-CodeDomAuthorizedType

{

.Synopsis

Removes any web configuration entries owned by "NetFrameworkAuthorizedTypeUpdate"

.DESCRIPTION

Removes any web configuration entries owned by "NetFrameworkAuthorizedTypeUpdate"

.EXAMPLE

Remove-CodeDomAuthorizedType

[CmdletBinding()]

param()

begin

{

$contentService = [Microsoft.SharePoint.Administration.SPWebService]::ContentService

}

process

{

$webConfigModifications = @($contentService.WebConfigModifications | ? { $_.Owner -eq "NetFrameworkAuthorizedTypeUpdate" })

foreach ( $webConfigModification in $webConfigModifications )

{

Write-Verbose "Found instance owned by NetFrameworkAuthorizedTypeUpdate"

$contentService.WebConfigModifications.Remove( $webConfigModification ) | Out-Null

}

if( $webConfigModifications.Count -gt 0 )

{

$contentService.Update()

$contentService.ApplyWebConfigModifications()

}

end

{

}

# The following command will get the timerjob responsible for the web.config change deployment

# Get-SPTimerJob | ? { $_.Name -eq "job-webconfig-modification" }

# The following command will make the appropriate changes

Add-CodeDomAuthorizedType

# Remove the following command if you have to remove the web.config updates, you can use this function to retract the changes

# Remove-CodeDomAuthorizedType

זרימות עבודה של SharePoint מפסיקות לפעול לאחר התקנת עדכוני אבטחה של .NET עבור CVE-2018-8421

תופעות

סיבה

פתרון

פתרון

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

האם מידע זה היה שימושי?

תודה על המשוב!

תופעות

סיבה

פתרון

פתרון

הוספת הסוגים באופן ידני

הוספת הסוגים באמצעות קובץ script

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

האם מידע זה היה שימושי?

תודה על המשוב!