SharePoint Enterprise Server 2016 安全更新说明：2024 年 9 月 10 日 (KB5002624)

摘要

此安全更新解决了 Microsoft SharePoint Server 远程代码执行漏洞和 Microsoft SharePoint Server 拒绝服务漏洞。 要了解有关这些漏洞的更多信息，请参阅以下安全公告：

• Microsoft 公共漏洞和暴露 CVE-2024-38018

• Microsoft 公共漏洞和暴露 CVE-2024-38227

• Microsoft 公共漏洞和暴露 CVE-2024-38228

• Microsoft 公共漏洞和暴露 CVE-2024-43464

• Microsoft 公共漏洞和暴露 CVE-2024-43466

此公开更新提供了 SharePoint Server 2016 功能包 2。 功能包 2 包含以下功能：

• SharePoint Framework (SPFx)

此公开更新还提供了包含在 SharePoint Server 2016 功能包 1 中的所有功能，其中包含：

• 管理操作记录

• MinRole 增强功能

• SharePoint 自定义磁贴

• 混合分类

• 适用于 SharePoint 内部部署的 OneDrive API

• OneDrive for Business 现代用户体验（适用于软件保障客户）

OneDrive for Business 现代用户体验在通过安装公开更新或手动启用进行启用体验时需要有效的软件保障合同。 如果你在启用时没有有效的软件保障合同，则必须关闭 OneDrive for Business 现代用户体验。

有关更多信息，请参阅下列 Microsoft Learn 文章：

• SharePoint Server 2016（功能包 1）在 2016 年 11 月公开更新中包含的新功能

• SharePoint Server 2016（功能包 2）在 2017 年 9 月公开更新中包含的新功能

改进和修复

此安全更新程序包中包含了用于解决 SharePoint Enterprise Server 2016 中以下非安全问题的修补程序：

• 修复了 KB 5002618 中的已知问题：某些 SharePoint PowerShell cmdlet 无法正常工作，因为 Microsoft.SharePoint.ApplicationPages.SPThemes 类在所有 Web.config 文件中标记为不安全。

• 修复了安装最新的 .NET 累积更新后，业务数据连接 (BDC) 功能无法正常工作的问题。

此更新中的已知问题

• 应用此更新后，可能会遇到影响从 IDictionary 继承的自定义类型的反序列化的问题。 有关详细信息，请参阅某些继承自 IDictionary 的类型被阻止进行反序列化(KB5043462)。

• 你可能会遇到 SharePoint 工作流由于未授权类型被阻止而无法发布的问题。 此问题还会在 SharePoint 统一日志记录系统 (ULS) 日志中生成事件标记“c42q0”。
  
  要解决此问题，请在 Web.config 文件中注册安全类型。 可以在 ULS 日志中查找事件标记“c42q0”以找到被阻止的类型。 如果类型和程序集是安全的，请将该类型添加到 Web.config 文件中的授权列表。 例如：

  <System.Workflow.ComponentModel.WorkflowCompiler>
     <authorizedTypes>
       <targetFx version="v4.0">
          <authorizedType Assembly="Microsoft.SharePoint.WorkflowActions, Version=16.0.0.0, Culture=neutral, PublicKeyToken=null" Namespace="Microsoft.SharePoint.WorkflowActions.WithKey" TypeName="*" Authorized="True" />
      </targetFx>
     </authorizedTypes>

如何获取和安装更新

详细信息

有关保护和安全的信息

保护自己的上网安全： Windows 安全中心支持

了解如何防范网络威胁：Microsoft 安全