SharePoint Server 구독 버전용 보안 업데이트에 대한 설명: 2024년 3월 12일(KB5002564)

요약

이 보안 업데이트는 Microsoft SharePoint Server 원격 코드 실행 취약성을 해결합니다. 취약점에 관해 자세히 알아보려면 Microsoft 공개 취약점 및 노출 CVE-2024-21426을 참조하세요.

개선 사항 및 픽스

이 보안 업데이트에는 SharePoint Server 구독 버전 24H1 기능 업데이트가 도입되었습니다. 이 기능 업데이트는 앞으로 모든 SharePoint Server 구독 버전 공개 업데이트에 포함됩니다. 이 기능 업데이트에 대한 자세한 내용은 SharePoint Server 구독 버전 24H1의 신규 및 향상된 기능을 참조하세요.

이 보안 업데이트에는 SharePoint Server 구독 버전에서 다음과 같은 비보안 문제에 대한 개선 사항 및 수정 사항이 포함되어 있습니다.

• 사용자가 SharePoint 페이지에서 SharePoint의 CSP(콘텐츠 보안 정책) HTTP 헤더를 비활성화할 수 있도록 합니다. SharePoint 페이지에서 SharePoint CSP HTTP 헤더를 활성화하지 않으려면 PowerShell에서 다음 cmdlet을 실행하면 됩니다.
  
  Add-PSSnapin Microsoft.SharePoint.PowerShell
  $farm = Get-SPFarm
  $farm.EnableCSPHeaderForPage = $false
  $farm.Update()

• 사이트 URL에 아포스트로피(') 문자가 포함된 경우 그룹화된 보기에 대한 모두 보기 링크를 선택하면 최신 목록 웹 파트가 중지되는 문제를 해결합니다.

• RTL(오른쪽에서 왼쪽) 언어를 사용할 때 편집 단추가 목록 항목 편집 창의 여러 줄 필드 제목과 겹치는 문제를 해결합니다.

• 커뮤니케이션 사이트의 가로 탐색이 현재 사이트를 올바르게 반영하지 않는 문제를 해결합니다.

• SharePoint 사이트 테마 사용자 지정으로 인해 양식이 로드되는 동안 로그인 양식이 5초 지연되는 문제를 해결합니다.

• 빠른 편집 모드에서 일반 텍스트가 하이퍼링크로 렌더링되는 문제를 해결합니다.

• 클래식 UI가 하위 사이트의 올바른 상태를 표시하지 않는 문제를 해결합니다.

이 업데이트의 알려진 문제

• 이 보안 업데이트를 설치한 후 서버가 기존 SharePoint 팜에 가입할 수 없는 문제가 발생할 수 있습니다. 자세한 내용은 팜에 KB5037978(인증서 관리)에서 관리하는 인증서가 포함된 경우 SharePoint 팜에 서버를 추가할 수 없음을 참조하세요.

• 이 보안 업데이트는 또한 최신 버전의 Microsoft.Owin 구성 요소를 도입합니다. 이 구성 요소의 버전은 SharePoint Server의 Web.config 파일에서 참조되므로 이러한 Web.config 파일에서 참조를 업데이트하려면 업그레이드 작업을 실행해야 합니다. 업그레이드 작업을 실행하지 않고 이 보안 업데이트를 설치하는 경우 SharePoint 사이트를 탐색할 때 다음 오류 메시지가 표시됩니다.

  파일이나 어셈블리 'Microsoft.Owin, Version=3.0.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' 또는 여기에 종속되어 있는 파일이나 어셈블리 중 하나를 로드할 수 없습니다. 지정된 파일을 찾을 수 없습니다.

  이 보안 업데이트를 설치한 후 다음 방법 중 하나를 사용하여 업그레이드 작업을 실행하세요.

  • SharePoint 제품 및 기술 구성 마법사(PSConfigUI.exe)를 시작하고 업그레이드하세요.

  • SharePoint 제품 구성 마법사(PSCONFIG.EXE) 명령줄 도구 실행:
    
    PSCONFIG.EXE -cmd secureresources -cmd services -install -cmd installfeatures -cmd applicationcontent -install -cmd upgrade -inplace b2b -wait

  • 다음 PowerShell 명령 실행:
    
    Initialize-SPResourceSecurity
    Install-SPService
    Install-SPFeature -AllExistingFeatures
    Install-SPApplicationContent
    Upgrade-SPFarm

  이 업그레이드 작업을 실행하면 오류 메시지가 사라집니다.

  이 동작은 새 구성 요소 버전이 SharePoint Server의 Web.config 파일에 등록되어야 하기 때문에 의도된 것입니다.

  이 문제는 SharePoint Server 제로 가동 중지 시간 패치 단계에 설명된 대로 사용자가 "제로 가동 중지 시간 패치(ZDP)"를 수행하는 기능에 영향을 미칩니다. 업그레이드 작업이 실행될 때까지 SharePoint 사이트에 액세스할 수 없기 때문입니다. 사용자는 가동 중지 시간이 허용되는 유지 관리 기간 동안 업데이트를 설치할 준비를 해야 합니다.

  또는 사용자가 특정 서버에 업데이트가 설치된 직후와 서버가 부하 분산 로테이션으로 돌아가기 전에 각 웹 애플리케이션의 Web.config 파일을 수동으로 편집하여 가동 중지 시간을 방지할 수 있습니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. Web.config 파일의 구성 > 런타임 > assemblyBinding 섹션에서 다음 줄을 찾으세요.

     <dependentAssembly>
          <assemblyIdentity name="Microsoft.Owin" publicKeyToken="31bf3856ad364e35" culture="neutral" />
          <bindingRedirect oldVersion="0.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
     </dependentAssembly>

  2. 찾은 텍스트를 다음 줄의 내용으로 바꾸세요.

     <dependentAssembly>
          <assemblyIdentity name="Microsoft.Owin" publicKeyToken="31bf3856ad364e35" culture="neutral" />
          <bindingRedirect oldVersion="0.0.0.0-4.2.2.0" newVersion="4.2.2.0" />
     </dependentAssembly>

  업데이트가 모든 서버에 설치되면 사용자는 업그레이드 작업을 실행할 수 있습니다. Web.config 파일을 수동으로 편집해도 업그레이드 작업이 방해되지 않습니다.

업데이트를 구하고 설치하는 방법

자세한 내용

보호 및 보안 관련 정보

온라인에서 자신 보호: Windows 보안 지원

사이버 위협으로부터 보호하는 방법: Microsoft 보안

변경 기록

다음 표에는 이 항목의 가장 중요한 변경 사항 중 일부가 요약되어 있습니다.