Опис оновлення системи безпеки для SharePoint Server (випуск за передплатою): 10 вересня 2024 р. (KB5002640)

Зведення

Це оновлення системи безпеки усуває вразливість віддаленого виконання коду Сервера Microsoft SharePoint Server і відмову в обслуговуванні сервера Microsoft SharePoint Server. Щоб дізнатися більше про вразливості, див. такі рекомендації з безпеки:

• Загальні вразливості та експозиції Корпорації Майкрософт CVE-2024-38018

• Загальні вразливості та експозиції Корпорації Майкрософт CVE-2024-38227

• Загальні вразливості та експозиції Корпорації Майкрософт CVE-2024-38228

• Загальні вразливості та експозиції Корпорації Майкрософт CVE-2024-43464

• Загальні вразливості та впливи корпорації Майкрософт CVE-2024-43466

Покращення та виправлення

У цьому оновленні системи безпеки представлено оновлення функцій SharePoint Server (випуск за передплатою) версії 24H2. Це оновлення функцій буде включено до всіх SharePoint Server (випуск за передплатою) загальнодоступних оновлень у майбутньому. Докладні відомості про це оновлення функцій див. в статті Нові та покращені функції в SharePoint Server (випуск за передплатою) версії 24H2.

Це оновлення системи безпеки містить покращення та виправлення для таких проблем, не пов'язані з безпекою, у SharePoint Server (випуск за передплатою):

• Покращено журналювання для неприпустимої схеми поля URL-адреси.

• Вирішено проблему, через яку стовпець підстановки, який отримує дані зі стовпця дати й часу, неправильний, якщо в поданні існує стовпець у форматі JSON.

• Вирішено проблему, через яку функції підключення до бізнес-даних (ПБД) не працюють належним чином після інсталяції останніх сукупних оновлень .NET.

• Вирішено проблему, через яку автентифікація "Мого сайту" постійно з'являється, коли користувач не має дозволів на доступ до відстежуваних сайтів.

• Вирішено проблему, через яку подання згрупованого списку в обов'язковому полі відображається як не згруповано в режимі навігації сторінками.

• Вирішено проблему, через яку веб-частина списку не відображає правильні значення для користувачів, якщо стовпець користувача містить багатозначний стовпець.

• Вирішено проблему з високим рівнем використання ЦП під час процесу пошуку.

Відомі проблеми в цьому оновленні

• Після застосування цього оновлення може виникнути проблема, яка впливає на десеріалізацію настроюваних типів, успадкованих від IDictionary. Докладні відомості див. в статті Певні типи, успадковані від IDictionary, заблоковано від десеріалізації (KB5043462).

• Може виникнути проблема, через яку робочі цикли SharePoint не можна опублікувати, оскільки неавторизований тип заблоковано. Ця проблема також створює тег події "c42q0" у журналах системи уніфікованого журналювання SharePoint (ULS).
  
  Щоб вирішити цю проблему, зареєструйте безпечні типи у файлі Web.config. Щоб знайти заблокований тип, можна знайти тег події "c42q0" у журналах ULS. Якщо тип і складання безпечні, додайте тип до авторизованого списку у файлі Web.config. Приклади.

  <System.Workflow.ComponentModel.WorkflowCompiler>
     <authorizedTypes>
       <targetFx version="v4.0">
          <authorizedType Assembly="Microsoft.SharePoint.WorkflowActions, Version=16.0.0.0, Culture=neutral, PublicKeyToken=null" Namespace="Microsoft.SharePoint.WorkflowActions.WithKey" TypeName="*" Authorized="True" />
      </targetFx>
     </authorizedTypes>

• Хоча базова автентифікація для наявних веб-програм має продовжувати працювати, ви більше не зможете настроїти базову автентифікацію для нових або наявних веб-програм за допомогою Центру адміністрування або PowerShell.  Ця зміна є навмисною і частиною зусиль, спрямованих на припинення базової автентифікації в SharePoint Server (випуск за передплатою).

Отримання та інсталяція оновлення

Додаткові відомості

Відомості про захист і безпеку

Захистіть себе в Інтернеті: підтримка Безпека у Windows

Дізнайтеся, як ми захищаємо від кіберзагроз: Microsoft Security