SharePoint Enterprise Server 2016 安全更新说明：2021 年 6 月 8 日 (KB5001946)

摘要

此安全更新解决 Microsoft SharePoint 远程代码执行漏洞、SharePoint 欺骗漏洞、SharePoint Server信息泄漏漏洞 SharePoint Server 远程代码执行漏洞。 要了解有关这些漏洞的更多信息，请参阅以下安全公告：

• Microsoft 常见漏洞和披露 CVE-2021-26420

• Microsoft 常见漏洞和披露 CVE-2021-31948

• Microsoft 常见漏洞和披露 CVE-2021-31950

• Microsoft 常见漏洞和披露 CVE-2021-31963

• Microsoft 常见漏洞和披露 CVE-2021-31964

• Microsoft 常见漏洞和披露 CVE-2021-31965

• Microsoft 常见漏洞和披露 CVE-2021-31966

此公开更新提供了 SharePoint Server 2016 功能包 2。 功能包 2 包含以下功能：

• SharePoint Framework (SPFx)

此公开更新还提供了包含在 SharePoint Server 2016 功能包 1 中的所有功能，其中包含：

• 管理操作记录

• MinRole 增强功能

• SharePoint 自定义磁贴

• 混合分类

• 适用于 SharePoint 内部部署的 OneDrive API

• OneDrive for Business 现代用户体验（适用于软件保障客户）

OneDrive for Business 现代用户体验在通过安装公开更新或手动启用进行启用体验时需要有效的软件保障合同。 如果你在启用时没有有效的软件保障合同，则必须关闭 OneDrive for Business 现代用户体验。

有关更多信息，请参阅下列 Microsoft Docs 文章：

• SharePoint Server 2016（功能包 1）的 2016 年 11 月公开更新中包含的新功能

• SharePoint Server 2016（功能包 2）的 2017 年 9 月公开更新中包含的新功能

改进和修补程序

此更新包含安全性和可靠性改进。

此安全更新包含用于 SharePoint Server 2016 中以下非安全问题的修补程序和改进：

• 改进 SharePoint 产品配置向导 (PSConfig)、计时器服务作业和其他功能执行的某些数据库操作的性能。

• 解决尝试使用包含多个项目的 SharePoint 列表中的索引列清除筛选器时收到以下错误消息的问题：
  无法显示筛选器值。该字段可能无法筛选，或返回的项目数超出管理员强制要求的列表视图阈值。

• 解决依赖 WPProperty 的 Web 部件无法正常工作的问题。 若要使 Web 部件 正常工作，还必须按照 KB 5003528 中提供的步骤声明允许受影响的 .NET 类型访问 Web.config 文件中的 WPProperty。

此安全更新也包含用于解决 Project Server 2016 中以下非安全问题的修补程序。 请考虑以下情况：

• 在任务上设置状态管理器。

• 发布项目。

• 之后，在同一编辑会话中，更改状态管理器设置。

• 发布项目。

在这种情况下，状态管理器属性不会在报告中更新。 仍然显示旧状态管理器，而不是新状态管理器。

此更新中的已知问题

• 访问外部 URL 可能会阻止 DataFormWebPart，并且会在 SharePoint 统一日志记录系统 (ULS) 中生成 "8scdc" 事件标记。 有关更多信息，请参阅 KB 5004210。

• 当第三方程序集尝试访问某些敏感属性时，可能会阻止用户代码。 发生此问题时，"8gaol" 事件条目将记录在 SharePoint 统一日志记录系统 (ULS) 日志中。 例如，你可能会在 ULS 日志中找到以下条目：
  
  8gaol 无法从外部程序集访问此敏感属性：<sensitive property name>。

  要解决此问题，请安装 KB5002002 并按照 KB5004581 中的指南启用受信任的第三方程序集。

如何获取和安装更新

更多信息

有关保护和安全的信息

保护自己的上网安全：Windows 安全支持

了解如何防范网络威胁：Microsoft 安全

更改历史记录

 下表汇总了本主题的一些最重要的更改。