Penting: Artikel ini berisi informasi yang memperlihatkan cara membantu menurunkan pengaturan keamanan atau cara menonaktifkan fitur keamanan di komputer. Anda dapat membuat perubahan ini untuk mengatasi masalah tertentu. Sebelum membuat perubahan ini, kami menyarankan agar Anda mengevaluasi risiko yang terkait dengan penerapan solusi ini di lingkungan tertentu. Jika Anda menerapkan solusi ini, lakukan langkah tambahan yang sesuai untuk membantu melindungi komputer.
Gejala
Setelah Anda menginstal pembaruan keamanan Bulan September berikut ini untuk SharePoint Server, beberapa metode Layanan Web Halaman Komponen Web mungkin diblokir. Selain itu, tag kejadian "6loz1" atau "5mh3d" dicatat dalam log SharePoint Unified Logging System (ULS).
-
Deskripsi pembaruan keamanan untuk SharePoint Foundation 2013: 13 September 2022 (KB5002159)
-
Deskripsi pembaruan keamanan untuk SharePoint Foundation 2013: 13 September 2022 (KB5002267)
-
Deskripsi pembaruan keamanan untuk SharePoint Enterprise Server 2016: 13 September 2022 (KB5002269)
-
Deskripsi pembaruan keamanan untuk SharePoint Server 2019: 13 September 2022 (KB5002258)
Penyebab
Untuk memperkuat keamanan SharePoint, pemeriksaan keamanan yang ditingkatkan ditambahkan ke metode RenderWebPartForEdit untuk memblokir kontrol yang berisi karakter traversal properti "." dalam atributnya secara default. Ini dapat menyebabkan metode Layanan Web Halaman Komponen Web yang sudah ada diblokir.
Solusi:
Catatan: Fitur di luar kotak dan dependensinya dari SharePoint Server bergantung pada pengaturan default dalam file web.config. Jika SharePoint Server Anda tidak memiliki kode atau komponen kustom apa pun yang digunakan, seharusnya tidak perlu memperkenalkan perubahan apa pun pada web.config. Jika anda menemukan fitur out-of-box yang masih terpengaruh dengan web.config default, silakan buka tiket dukungan bagi kami untuk membantu menyelidiki dan mengatasi masalah tersebut.
Peringatan: SafeControls default dalam file web.config SharePoint telah melalui peninjauan keamanan dan telah menetapkan atribut AllowPropertiesTraversal berdasarkan apakah atribut tersebut dianggap aman untuk digunakan dengan karakter traversal properti dalam atributnya. Pengguna harus melakukan peninjauan keamanan sebelum mengatur atribut SafeControls AllowPropertiesTraversal tambahan ke true untuk memastikan bahwa atribut tersebut aman digunakan dengan karakter traversal properti dalam nilai atribut mereka.
Untuk mengatasi masalah ini, buka blokir kontrol yang diblokir oleh pemeriksaan keamanan.
Pertama, cari tag kejadian "6loz1" dan "5mh3d" dalam log SharePoint ULS. Tag kejadian ini berisi informasi tentang kontrol mana yang diblokir karena memiliki karakter traversal properti "." dalam nilai atributnya. Contohnya:
Kontrol 6loz1 Tidak Aman=<TypeName>, <AssemblyName>, <AssemblyVersion>, <AssemblyLanguageSetting>, <AssemblyPublicKey> karena memiliki karakter traversal properti dalam nilai atribut.
Selanjutnya, periksa kontrol yang diblokir untuk memastikan kontrol tersebut aman dengan karakter traversal properti dalam nilai atribut. Jika aman, cari <SafeControl> untuk kontrol tersebut di <Configuration/SharePoint/SafeControls> node dalam file web.config aplikasi web Anda, dan tambahkan atribut AllowPropertiesTraversal="True" ke dalamnya. Jika anda tidak dapat menemukan <SafeControl> untuk kontrol tersebut dalam simpul tersebut, tambahkan elemen <SafeControl> untuknya dengan atribut AllowPropertiesTraversal="True" . Berikut ini adalah contohnya:
<SafeControl
Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"
Namespace="CustomSolution.AssemblyName.NameSpace"
TypeName="AffectedClass"
AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>
