Pomembno: V tem članku so informacije, ki vam bodo pomagale znižati varnostne nastavitve ali kako izklopiti varnostne funkcije v računalniku. Te spremembe lahko naredite za odpravljanje določene težave. Preden izvedete te spremembe, priporočamo, da ocenite tveganja, povezana z izvajanjem te rešitve v vašem okolju. Če uporabite to rešitev, sledite morebitnim dodatnim korakom, da zaščitite računalnik.
Simptomi
Po namestitvi teh septembrovih varnostnih posodobitev za Strežnik SharePoint Server bodo nekateri načini spletne storitve spletnih gradnikov morda blokirani. Poleg tega so v dnevnike sharePointovega sistema poenotenega pisanja dnevnikov zabeležene oznake dogodka »6loz1« ali »5mh3d«.
-
Opis varnostne posodobitve za SharePoint Foundation 2013: 13. september 2022 (KB5002159)
-
Opis varnostne posodobitve za SharePoint Foundation 2013: 13. september 2022 (KB5002267)
-
Opis varnostne posodobitve za SharePoint Enterprise Server 2016: 13. september 2022 (KB5002269)
-
Opis varnostne posodobitve za SharePoint Server 2019: 13. september 2022 (KB5002258)
-
Opis varnostne posodobitve za SharePoint Server 2019 paket: 13. september 2022 (KB5002257)
-
Opis varnostne posodobitve za Naročniška izdaja SharePoint Server: 13. september 2022 (KB5002271)
-
Opis varnostne posodobitve za Naročniška izdaja SharePoint Server: 13. september 2022 (KB5002270)
Vzrok
Za večjo varnost SharePointa smo metodo RenderWebPartForEdit dodali izboljšana preverjanja varnosti, s katerimi so v privzetih atributih blokirali kontrolnike, ki vsebujejo lastnost traversal znak ".". To lahko povzroči, da so obstoječi načini spletne storitve spletnih gradnikov blokirani.
Rešitev
Opomba: Vnaprej nameščene funkcije in njihove odvisnosti strežnika SharePoint Server temeljijo na privzetih nastavitvah v web.config datoteki. Če v strežniku SharePoint Server ni uvedena koda ali komponente po meri, vam ni treba vnesti nobenih sprememb v web.config. Če najdete vnaprej opisane funkcije, na katere še vedno vpliva privzeti web.config, odprite vstopnico za podporo za pomoč pri preiskovanju in odpravi težav.
Opozorilo: Privzeta datoteka »SafeControls« v SharePointovi datoteki web.config je šla skozi varnostni pregled in je imela nabor atributov AllowPropertiesTraversal glede na to, ali so obravnavani kot varni za uporabo z lastnostjo traversal znaka v svojih atributih. Uporabniki morajo pred nastavitvijo dodatnih atributov SafeControls AllowPropertiesTraversal narediti varnostni pregled, da se prepričajo, ali so varni za uporabo z lastnostjo prečkajoč znak v njihovih vrednostih atributov.
Če želite odpraviti to težavo, deblokiraj kontrolnike, ki jih blokirajo varnostna preverjanja.
Najprej poiščite oznake dogodka »6loz1« in »5mh3d« v dnevnikih Uls za SharePoint. Te oznake dogodka vsebujejo informacije o tem, kateri kontrolniki so bili blokirani zaradi prečkanje lastnosti ». « v vrednosti atributa. Na primer:
6loz1 Unsafe control=<TypeName>, <AssemblyName>, <AssemblyVersion>, <AssemblyLanguageSetting>, <AssemblyPublicKey> for having property traversal char in attribute value.
Nato preglejte blokiran kontrolnik in se prepričajte, da je varen z znakom prečkanje lastnosti v vrednosti atributa. Če je varno, poiščite <SafeControl> za ta kontrolnik v vozlišču <Configuration/SharePoint/SafeControls> v datoteki web.config vaših spletnih aplikacij in mu dodajte atribut AllowPropertiesTraversal="True ". Če ne najdete <SafeControl> za ta kontrolnik v tem vozlišču, mu dodajte element <SafeControl> z atributom AllowPropertiesTraversal="True ". Tukaj je primer:
<SafeControl
Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"
Namespace="CustomSolution.AssemblyName.NameSpace"
TypeName="AffectedClass"
AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>
