Fluxos de trabalho do SharePoint param de funcionar depois que você instala as atualizações de segurança do .NET para CVE-2018-8421

Sintomas

Após você instalar qualquer uma das atualizações de segurança do .NET Framework de setembro de 2018 para resolver a CVE-2018-8421 (Vulnerabilidade de execução remota de código do .NET Framework), os fluxos de trabalhos pré-configurados do SharePoint param de funcionar. Quando esse problema ocorre, uma entrada erro semelhante à seguinte á registrada:

<Date> <Time> w3wp.exe (0x1868) 0x22FC SharePoint Foundation Workflow Infrastructure 72fs Unexpected RunWorkflow: Microsoft.SharePoint.SPException: <Error><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1" Text="Type System.CodeDom.CodeBinaryOperatorExpression is not marked as authorized in the application configuration file." /><CompilerError Line="-1" Column="-1"…

A entrada de erro sugere que System.CodeDom.CodeBinaryOperatorExpression não está incluído nos tipos autorizados.

Para obter mais informações sobre as atualizações de segurança do .NET de setembro, acesse esta página do Blog do Microsoft .NET.

Motivo

O WF (Workflow Foundation) executa fluxos de trabalho somente quando todos os tipos e assemblies dependentes são autorizados no arquivo de configuração do .NET (ou adicionados explicitamente por meio de código) na seguinte árvore:

<System.Workflow.ComponentModel.WorkflowCompiler>

No entanto, após a atualização, alguns tipos usados pelos fluxos de trabalho pré-configurados do SharePoint que não eram necessários anteriormente são agora necessários.

Resolução

Para resolver esse problema, aplique as atualizações apropriadas de segurança e não segurança dos seguintes artigos da Base de Dados de Conhecimento:

4461501 Descrição da atualização de segurança para o SharePoint Enterprise Server 2016: 13 de novembro de 2018

4461508 13 de novembro de 2018, atualização cumulativa para o SharePoint Foundation 2013 (KB4461508)

4461510 13 de novembro de 2018, atualização cumulativa para o SharePoint Enterprise Server 2013 (KB4461510)

4011713 13 de novembro de 2018, atualização para o SharePoint Foundation 2010 (KB4011713)

4461528 13 de novembro de 2018, atualização cumulativa para o SharePoint Server 2010 (KB4461528)

Observações

Após a instalação da atualização, o Assistente de Configuração de Produtos do SharePoint deve ser executado para que a correção seja totalmente aplicada.
Algumas ações de fluxo de trabalho personalizadas ou de terceiros podem ter dependências adicionais. Se você enfrentar um comportamento semelhante a esse problema, mas ele não for discutido neste artigo, consulte o desenvolvedor da ação de fluxo de trabalho para obter assistência.

Solução alternativa

Para contornar esse problema, adicione explicitamente os tipos necessários ao arquivo Web.config de todos os aplicativos. Embora as etapas manuais sejam fornecidas, recomendamos que você use o método de script.

Para contornar esse problema, adicione explicitamente os tipos necessários aos arquivos web.config de todos os aplicativos.

Para o SharePoint 2013 e versões posteriores

Para o SharePoint 2013 e versões posteriores, adicione as seguintes linhas:

Para versões do SharePoint anteriores ao SharePoint 2013

Para versões do SharePoint anteriores a 2013, adicione as seguintes linhas:

Recomendamos que você execute o script a seguir, em vez de modificar diretamente os arquivos existentes.

Observação Alguns mecanismos de fluxo de trabalho de terceiros podem exigir a adição de tipos extras. Se esse for o caso, entre em contato com o fornecedor para obter informações sobre os tipos necessários e, em seguida, ajuste o script de acordo.

O script a seguir altera o Web.config de todos os aplicativos Web para incluir as entradas necessárias. Esse script inclui esses tipos para aplicativos Web existentes e para aplicativos criados após a execução do script. O script deve ser executado apenas uma vez em qualquer servidor Web front-end no farm (ele atualizará todos os servidores).

This script adds the entries to all web.config files for all web applications in the farm.

Run this script as Farm Administrator in one of the WFEs.

This script has to run only one time.

SUMMARY:

This script uses the native SharePoint SPWebConfigModification API to deploy new updates to the web.config file for each web application on each server in the farm. Servers that are added at a later date will also get the updates applied because the API configuration is persisted in the config database. This API does not update the web.config for the central administration web application.

If you are running workflows on the central admin web application, you will have to manually update the web.config by using the steps in the referenced blog.

==============================================================

Add-PSSnapin Microsoft.SharePoint.PowerShell -ErrorAction SilentlyContinue | Out-Null

function Add-CodeDomAuthorizedType

{

.Synopsis

Adds the necessary authorizedType elements to all web.config files for all non-central admin web applications

.DESCRIPTION

Adds the necessary authorizedType elements to all web.config files for all non-central admin web applications

.EXAMPLE

Add-CodeDomAuthorizedType

[CmdletBinding()]

param

(

)

begin

{

$farmMajorVersion = (Get-SPFarm -Verbose:$false ).BuildVersion.Major

$contentService = [Microsoft.SharePoint.Administration.SPWebService]::ContentService

$typeNames = @( "CodeBinaryOperatorExpression", "CodePrimitiveExpression", "CodeMethodInvokeExpression", "CodeMethodReferenceExpression", "CodeFieldReferenceExpression","CodeThisReferenceExpression", "CodePropertyReferenceExpression")

}

process

{

if( @($contentService.WebConfigModifications | ? { $_.Name -eq "NetFrameworkAuthorizedTypeUpdate" }).Count -gt 0 )

{

Write-Warning "Existing NetFrameworkAuthorizedTypeUpdate entries found, this script has to be run only one time per farm."

return

}

if( $farmMajorVersion -le 14 ) # 2010, 2007

{

foreach( $typeName in $typeNames )

{

# System, Version=2.0.0.0

$netFrameworkConfig = New-Object Microsoft.SharePoint.Administration.SPWebConfigModification

$netFrameworkConfig.Path = "configuration/System.Workflow.ComponentModel.WorkflowCompiler/authorizedTypes"

$netFrameworkConfig.Name = "authorizedType[@Assembly='System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'][@Namespace='System.CodeDom'][@TypeName='{0}'][@Authorized='True']" -f $typeName

$netFrameworkConfig.Owner = "NetFrameworkAuthorizedTypeUpdate"

$netFrameworkConfig.Sequence = 0

$netFrameworkConfig.Type = [Microsoft.SharePoint.Administration.SPWebConfigModification+SPWebConfigModificationType]::EnsureChildNode

$netFrameworkConfig.Value = '<authorizedType Assembly="System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" Namespace="System.CodeDom" TypeName="{0}" Authorized="True"/>' -f $typeName

$contentService.WebConfigModifications.Add($netFrameworkConfig);

}

else # 2013+

{

foreach( $typeName in $typeNames )

{

# System, Version=4.0.0.0

$netFrameworkConfig = New-Object Microsoft.SharePoint.Administration.SPWebConfigModification

$netFrameworkConfig.Path = "configuration/System.Workflow.ComponentModel.WorkflowCompiler/authorizedTypes/targetFx"

$netFrameworkConfig.Name = "authorizedType[@Assembly='System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'][@Namespace='System.CodeDom'][@TypeName='{0}'][@Authorized='True']" -f $typeName

$netFrameworkConfig.Owner = "NetFrameworkAuthorizedTypeUpdate"

$netFrameworkConfig.Sequence = 0

$netFrameworkConfig.Type = [Microsoft.SharePoint.Administration.SPWebConfigModification+SPWebConfigModificationType]::EnsureChildNode

$netFrameworkConfig.Value = '<authorizedType Assembly="System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" Namespace="System.CodeDom" TypeName="{0}" Authorized="True"/>' -f $typeName

$contentService.WebConfigModifications.Add($netFrameworkConfig);

}

Write-Verbose "Updating web.configs"

$contentService.Update()

$contentService.ApplyWebConfigModifications();

}

end

{

}

function Remove-CodeDomAuthorizedType

{

.Synopsis

Removes any web configuration entries owned by "NetFrameworkAuthorizedTypeUpdate"

.DESCRIPTION

Removes any web configuration entries owned by "NetFrameworkAuthorizedTypeUpdate"

.EXAMPLE

Remove-CodeDomAuthorizedType

[CmdletBinding()]

param()

begin

{

$contentService = [Microsoft.SharePoint.Administration.SPWebService]::ContentService

}

process

{

$webConfigModifications = @($contentService.WebConfigModifications | ? { $_.Owner -eq "NetFrameworkAuthorizedTypeUpdate" })

foreach ( $webConfigModification in $webConfigModifications )

{

Write-Verbose "Found instance owned by NetFrameworkAuthorizedTypeUpdate"

$contentService.WebConfigModifications.Remove( $webConfigModification ) | Out-Null

}

if( $webConfigModifications.Count -gt 0 )

{

$contentService.Update()

$contentService.ApplyWebConfigModifications()

}

end

{

}

# The following command will get the timerjob responsible for the web.config change deployment

# Get-SPTimerJob | ? { $_.Name -eq "job-webconfig-modification" }

# The following command will make the appropriate changes

Add-CodeDomAuthorizedType

# Remove the following command if you have to remove the web.config updates, you can use this function to retract the changes

# Remove-CodeDomAuthorizedType

Fluxos de trabalho do SharePoint param de funcionar depois que você instala as atualizações de segurança do .NET para CVE-2018-8421

Sintomas

Motivo

Resolução

Solução alternativa

Precisa de mais ajuda?

Quer mais opções

Essas informações foram úteis?

Agradecemos seus comentários!

Sintomas

Motivo

Resolução

Solução alternativa

Adicionar os tipos manualmente

Adicionar os tipos por meio de um script

Precisa de mais ajuda?

Quer mais opções

Essas informações foram úteis?

Agradecemos seus comentários!