חשוב: מאמר זה מכיל מידע שמראה לך כיצד לעזור באבטחה נמוכה יותר או כיצד לבטל תכונות אבטחה במחשב. באפשרותך לבצע שינויים אלה כדי לעקוף בעיה ספציפית. לפני שתבצע שינויים אלה, מומלץ להעריך את הסיכונים המשויכים ליישום פתרון זה בסביבה המסוימת שלך. אם תיישם פתרון זה, בצע את השלבים הנו נוספים המתאימים כדי לסייע בהגנה על המחשב.
תסמינים
לאחר התקנת עדכוני האבטחה הבאים של ספטמבר עבור SharePoint Server, ייתכן שחלק מפעולות השירות של שירות האינטרנט של דפי Web Part ייחסמו. בנוסף, תגי אירוע "6loz1" או "5mh3d" נרשמים ביומני מערכת הרישום המאוחדת (ULS) של SharePoint.
-
תיאור של עדכון האבטחה עבור SharePoint Foundation 2013: 13 בספטמבר 2022 (KB5002159)
-
תיאור של עדכון האבטחה עבור SharePoint Foundation 2013: 13 בספטמבר 2022 (KB5002267)
-
תיאור של עדכון האבטחה עבור SharePoint Enterprise Server 2016: 13 בספטמבר 2022 (KB5002269)
-
תיאור של עדכון האבטחה עבור SharePoint Server 2019: 13 בספטמבר 2022 (KB5002258)
-
תיאור של עדכון האבטחה עבור SharePoint Server 2019 שפה: 13 בספטמבר 2022 (KB5002257)
-
תיאור של עדכון האבטחה עבור המהדורת מנוי של SharePoint Server: 13 בספטמבר 2022 (KB5002271)
-
תיאור של עדכון האבטחה עבור המהדורת מנוי של SharePoint Server שפה: 13 בספטמבר 2022 (KB5002270)
סיבה
כדי לחזק את האבטחה של SharePoint, נוספו לשיטה RenderWebPartForEdit בדיקת אבטחה משופרת כדי לחסום פקדים המכילים את תו המאפיין מעבר "." בתכונות שלהם כברירת מחדל. פעולה זו עשויה לגרום לשיטות שירות אינטרנט קיימות של דפי Web Part להיחסם.
פתרון עוקף
הערה: התכונות המוכללות וה יחסי התלות שלהן ב- SharePoint Server מסתתכם בהגדרות ברירת המחדל בקובץ web.config שלך. אם ב- SharePoint Server שלך לא נפרסו קוד או רכיבים מותאמים אישית, אין צורך להציג שינויים כלשהם web.config. אם אתה מוצא תכונות מו מראש שעדיין מושפעות מהגדרות ברירת web.config, פתח כרטיס תמיכה בשבילנו כדי לעזור לחקור את הבעיות ולפתוח איתם.
אזהרה: SafeControls המהווה ברירת מחדל בקובץ web.config של SharePoint עברה סקירת אבטחה והגדירו את התכונה AllowPropertiesTraversal שלהם בהתבסס על השאלה אם הם נחשבים לבטוחים לשימוש עם תו מאפיין מעבר בתכונות שלהם. על המשתמשים לבצע סקירת אבטחה לפני הגדרת תכונות SafeControls AllowPropertiesTraversal נוספות כ- True כדי לוודא שהם בטוחים לשימוש עם תו מאפיין מעבר בערכי התכונה שלהם.
כדי לעקוף בעיה זו, בטל את החסימה של פקדים שנחסמו על-ידי בודקי האבטחה.
תחילה, חפש תגיות אירוע "6loz1" ו- "5mh3d" ביומני הרישום של SharePoint ULS. תגיות אירוע אלה מכילות מידע אודות הפקדים שנחסמו עקב תו מאפיין מעבר "." בערך התכונה שלהם. לדוגמה:
6loz1 Unsafe control=<TypeName>, <AssemblyName>, <AssemblyVersion>, <AssemblyLanguageSetting>, <AssemblyPublicKey> עבור ערך התכונה property traversal char.
לאחר מכן, בדוק את הפקד החסומים כדי להבטיח שהוא בטוח עם תו מאפיין מעבר בערך התכונה. אם הוא בטוח, חפש את הצומת <SafeControl> עבור פקד זה בצומת <Configuration/SharePoint/SafeControls> בקובץ web.config של יישומי האינטרנט שלך והוסף לו את התכונה AllowPropertiesTraversal="True ". אם אינך מצליח למצוא את <SafeControl> עבור פקד זה בצומת זה, הוסף רכיב <SafeControl> עבורו באמצעות התכונה AllowPropertiesTraversal="True ". להלן דוגמה:
<SafeControl
Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"
Namespace="CustomSolution.AssemblyName.NameSpace"
TypeName="AffectedClass"
AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>
