摘要
Microsoft Dynamics NAV 2013 R2 未正确清理受影响的 Dynamics NAV Web 客户端上经特殊设计的 Web 请求时,存在跨站点脚本漏洞。 已经过身份验证的攻击者可以通过向受影响的 Dynamics NAV Web 客户端发送经特殊设计的请求来利用此漏洞。 有关更多信息,请参阅 CVE-2018-8651。
部署信息
此更新基于 Dynamics NAV 2013 R2 的最新累积更新(CU 51,内部版本 49751)。 因此,必须在此更新之前部署该累积更新。
此更新程序包中包含 Dynamics NAV Web 客户端,应通过将提供的文件复制到“Dynamics NAV 网站”文件夹部署该客户端。
如何下载更新程序包
可以通过 Microsoft 下载中心获取更新程序包。
如何部署更新程序包
-
下载更新程序包。 其中包含名为“WEB CLIENT”的文件夹。
-
在安装 Dynamics NAV Web 客户端的位置找到该文件夹(它通常位于 C:\inetpub\wwwroot\<InstanceName>\WebClient 文件夹内)
-
打开 Internet Information Services (IIS) 管理器。
-
选择“站点”>“默认网站”>“Microsoft Dynamics NAV 2013 R2 Web 客户端”>“DynamicsNAV71”。
-
右键单击“DynamicsNAV71”文件夹站点,然后选择“浏览”。
-
打开“WebClient”文件夹。
-
-
停止正在运行 Web 客户端的 Internet Information Server。
-
复制在步骤 1 中下载的“WEB CLIENT”文件夹的上下文,并将其粘贴到在步骤 2 的步骤 d 中打开的“WebClient”文件夹。
-
再次启动 Internet Information Server。
更新程序包已部署。
更多信息
在启动 Dynamics NAV Web 客户端时,你将收到一条警告,指出服务器和客户端不是同一版本。 这是正常的,因为安装了新版本的 Dynamics NAV Web 客户端。 若要阻止向 Web 客户端用户显示此警告,可以在服务器配置文件中禁用此警告。 为此,请按照下列步骤操作:
-
打开 Microsoft Dynamics NAV 2013 R2 管理(管理控制台管理单元)。
-
在控制台根节点中,找到并展开“Microsoft Dynamics NAV”>“DynamicsNAV71 <服务器实例名称>”。
-
常规快速选项卡下的第一个设置称为“生成限制”,其默认设置为“WarnClient”。 将其设置为“AlwaysConnect”。
-
选择“编辑”按钮,然后更改值。
-
选择“保存”按钮,然后在系统提示“停止并重启服务后,新设置值才会生效”时选择“确定”。
-
重启服务器,如下所示:
-
选择管理控制台右侧的“控制台根节点”>“Microsoft Dynamics NAV”。
-
选择控制台中间区域的服务 (DynamicsNAV71)。
-
选择控制台右侧时,将显示重启服务器的选项。 选择“确定”,服务器将会重启。
-
