Svarbu: Šiame straipsnyje pateikiama informacija, kaip padėti sumažinti saugos parametrus arba išjungti kompiuterio saugos funkcijas. Šiuos keitimus galite atlikti norėdami išspręsti konkrečią problemą. Prieš atliekant šiuos pakeitimus rekomenduojame įvertinti riziką, susijusią su šio sprendimo diegimu jūsų konkrečioje aplinkoje. Jei įgyvendinsite šį problemos sprendimą, atlikite visus atitinkamus papildomus veiksmus, kad apsaugotumėte kompiuterį.
Požymiai
Įdiegus šiuos rugsėjo mėn. SharePoint Server saugos naujinimus, kai kurie iš dalių sudarytų puslapių žiniatinklio tarnybos metodai gali būti blokuojami. Be to, įvykio žymės "6loz1" arba "5mh3d" užregistruojamos "SharePoint" bendrosios registravimo sistemos (ULS) žurnaluose.
-
SharePoint Foundation 2013 saugos naujinimo aprašas: 2022 m. rugsėjo 13 d. (KB5002159)
-
SharePoint Foundation 2013 saugos naujinimo aprašas: 2022 m. rugsėjo 13 d. (KB5002267)
-
SharePoint Server 2019 saugos naujinimo aprašas: 2022 m. rugsėjo 13 d. (KB5002258)
-
SharePoint Server 2019 kalbos paketo saugos naujinimo aprašas: 2022 m. rugsėjo 13 d. (KB5002257)
Priežastis
Siekiant sustiprinti "SharePoint" saugą, patobulintos saugos patikros buvo įtrauktos į renderWebPartForEdit metodą, kad būtų blokuojami valdikliai, kuriuose yra ypatybės traversinis simbolis "." jų atributuose pagal numatytuosius parametrus. Dėl to gali būti blokuojami esami iš dalių sudarytų puslapių žiniatinklio tarnybos metodai.
Sprendimas
Pastaba: Paleidimo funkcijos ir jų priklausomybės nuo "SharePoint Server" priklauso nuo numatytųjų web.config failo parametrų. Jei jūsų "SharePoint Server" neįdiegtas joks pasirinktinis kodas ar komponentai, neturėtų reikėti atlikti jokių web.config pakeitimų. Jei randate funkcijų, kurios vis dar veikiamos naudojant numatytuosius web.config, atidarykite palaikymo kvitą, kuris padės ištirti ir išspręsti problemas.
Įspėjimas: "SharePoint" web.config failo numatytieji SafeControls atliko saugos peržiūrą ir jų AllowPropertiesTraversal atributas buvo nustatytas atsižvelgiant į tai, ar jie laikomi patikimais naudoti su atributuose esančio ypatybės atvirkštiniu simboliu. Vartotojai turėtų atlikti saugos peržiūrą prieš nustatydami papildomus SafeControls AllowPropertiesTraversal atributus kaip teisingą, kad įsitikintų, jog jie yra saugūs naudoti su ypatybės traversiniu simboliu atributų reikšmėse.
Norėdami išspręsti šią problemą, atblokuokite valdiklius, kuriuos blokuoja saugos tikrinimai.
Pirmiausia ieškokite įvykio žymių "6loz1" ir "5mh3d" "SharePoint ULS" žurnaluose. Šios įvykio žymės apima informaciją apie tai, kurie valdikliai buvo užblokuoti, nes atributo reikšmėje yra atvirkštinis ypatybės simbolis ".". Toliau pateikiami keli pavyzdžiai.
6loz1 Nesaugus valdiklis=<TypeName>, <AssemblyName>, <AssemblyVersion>, <AssemblyLanguageSetting>, <AssemblyPublicKey>, kad atributo reikšmėje būtų ypatybės traversinis simbolis.
Tada ištirkite užblokuotą valdiklį, kad įsitikintumėte, jog jis saugus atributo reikšmėje naudojant ypatybės atvirkštinį simbolį. Jei jis saugus, raskite <SafeControl> šio valdiklio <Configuration/SharePoint/SafeControls mazge> mazge žiniatinklio programų web.config faile ir įtraukite į jį atributą AllowPropertiesTraversal="True" . Jei šiame mazge nerandate <SafeControl>, įtraukite <SafeControl> elementą su atributu AllowPropertiesTraversal="True" . Toliau pateikiamas pavyzdys:
<SafeControl
Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"
Namespace="CustomSolution.AssemblyName.NameSpace"
TypeName="AffectedClass"
AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>
