Vulnerabilidade de script entre sites no cliente Web do Microsoft Dynamics NAV 2013 R2

Resumo

Existe uma vulnerabilidade XSS quando o Microsoft Dynamics NAV 2013 R2 não limpa adequadamente solicitações da Web especialmente criadas para um servidor Dynamics NAV afetado. Um invasor autenticado pode explorar essa vulnerabilidade enviando uma solicitação especialmente criada para um cliente Web Dynamics NAV afetado. Consulte a CVE-2018-8651 para obter mais informações.

Informações de implantação

Essa atualização é baseada na Atualização cumulativa mais recente do Dynamics NAV 2013 R2 (CU 51, build 49751). Portanto, você deve implantar essa atualização antes desta.

O pacote de atualização contém o cliente Web do Dynamics NAV, que deve ser implantado copiando os arquivos fornecidos para a pasta Site do Dynamics NAV.

Como baixar o pacote de atualização

Você pode obter o pacote de atualização no Centro de Download da Microsoft.

Como implantar o pacote de atualização

1. Baixe o pacote de atualização. Ele contém uma pasta chamada "WEB CLIENT".

2. Localize a pasta onde você instalou o cliente Web do Dynamics NAV (geralmente, ela está localizada na pasta C:\inetpub\wwwroot\<InstanceName>\WebClient)

   1. Abra o Gerenciador do IIS (Serviços de Informações da Internet).

   2. Selecione Sites > Site Padrão > Cliente Web do Microsoft Dynamics NAV 2013 R2 > DynamicsNAV71.

   3. Clique com o botão direito do mouse no site da pasta DynamicsNAV71 e selecione Explorar.

   4. Abra a pasta WebClient.

3. Pare o Internet Information Server que está executando o cliente Web.

4. Copie o contexto da pasta WEB CLIENT que você baixou na etapa 1 e cole-o na pasta WebClient aberta na etapa D da etapa 2.

5. Inicie o Internet Information Server novamente.
   
   O pacote de atualização é implantado.

Informações adicionais

Ao iniciar o cliente Web do Dynamics NAV, você recebe um aviso informando que o servidor e o cliente não são da mesma versão. Isso é esperado porque uma nova versão do cliente da Web do Dynamics NAV. Para impedir que esse aviso apareça para os usuários do cliente da Web, você pode desabilitar o aviso no arquivo de configuração do servidor. Para fazer isso, siga estas etapas:

1. Abra a Administração do Microsoft Dynamics NAV 2013 R2 (snap-in do console de gerenciamento).

2. Na raiz do console, localize e expanda Microsoft Dynamics NAV > DynamicsNAV71 <Nome da Instância do Servidor>.

3. A primeira configuração na guia rápida geral é chamada de "restrição de compilação" e sua configuração padrão é WarnClient. Defina-o como AlwaysConnect.

4. Selecione o botão Editar e altere o valor.

5. Selecione o botão Salvar e, em seguida, selecione OK quando for solicitado, "O novo valor de configurações não terá efeito até que você pare e reinicie o serviço".

6. Reinicie o servidor da seguinte forma:

   1. Selecione Raiz do console > Microsoft Dynamics NAV no lado direito do Console de gerenciamento.

   2. Selecione o serviço (DynamicsNAV71) na área central do console.

   3. Quando você selecionar o lado direito do console, uma opção para reiniciar o servidor será exibida. Selecione OK, e o servidor será reiniciado.