SharePoint Server용 2022년 9월 보안 업데이트(KB5017733)를 적용한 후 웹 파트 페이지 웹 서비스 메서드가 차단될 수 있음

증상

SharePoint Server에 대해 다음 9월 보안 업데이트를 설치한 후 일부 웹 파트 페이지 웹 서비스 방법이 차단될 수 있습니다. 또한 이벤트 태그 "6loz1" 또는 "5mh3d"는 SharePoint ULS(통합 로깅 시스템) 로그에 기록됩니다. 

• SharePoint Foundation 2013 보안 업데이트에 대한 설명: 2022년 9월 13일(KB5002159)

• SharePoint Foundation 2013 보안 업데이트에 대한 설명: 2022년 9월 13일(KB5002267)

• SharePoint Enterprise Server 2016 언어 팩 보안 업데이트에 대한 설명: 2022년 9월 13일(KB5002142)

• SharePoint Enterprise Server 2016 보안 업데이트에 대한 설명: 2022년 9월 13일(KB5002269)

• SharePoint Server 2019 보안 업데이트에 대한 설명: 2022년 9월 13일(KB5002258)

• SharePoint Server 2019 언어 팩 보안 업데이트에 대한 설명: 2022년 9월 13일(KB5002257)

• SharePoint Server 구독 버전 보안 업데이트에 대한 설명: 2022년 9월 13일(KB5002271)

• SharePoint Server 구독 버전 언어 팩 보안 업데이트에 대한 설명: 2022년 9월 13일(KB5002270)

원인 

SharePoint의 보안을 강화하기 위해 RenderWebPartForEdit 메서드에 향상된 보안 검사가 추가되어 기본적으로 특성에서 속성 통과 문자 "."가 포함된 컨트롤을 차단했습니다. 이로 인해 기존 웹 파트 페이지 웹 서비스 메서드가 차단될 수 있습니다.

해결 방법

이 문제를 해결하려면 보안 검사에 의해 차단된 컨트롤의 차단을 해제합니다.

먼저 SharePoint ULS 로그에서 이벤트 태그 "6loz1" 및 "5mh3d"를 찾습니다. 이러한 이벤트 태그에는 속성 통과 문자 "."가 특성 값에 있어 차단된 컨트롤에 대한 정보가 포함됩니다. 예시:

다음으로, 차단된 컨트롤을 검사하여 특성 값에 속성 통과 문자가 있는 것이 안전한지 확인합니다. 안전한 경우 웹 응용 프로그램의 web.config 파일에서 <Configuration/SharePoint/SafeControls>node에서 해당 컨트롤에 대한 <SafeControl>을 찾고 AllowPropertiesTraversal="True" 특성을 추가합니다. 해당 노드에서 해당 컨트롤에 대한 <SafeControl> 찾을 수 없는 경우 AllowPropertiesTraversal="True" 특성을 사용하여 <SafeControl> 요소를 추가합니다. 예를 들면 다음과 같습니다.

<SafeControl

    Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"

    Namespace="CustomSolution.AssemblyName.NameSpace"

    TypeName="AffectedClass"

    AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>