SharePoint Server 订阅版安全更新说明：2024 年 3 月 12 日 (KB5002564)

摘要

此安全更新解决了 Microsoft SharePoint Server 远程代码执行漏洞。 若要了解有关该漏洞的详细信息，请参阅 Microsoft 公共漏洞和暴露 CVE-2024-21426。

改进和修复

此安全更新引入了 SharePoint Server 订阅版版本 24H1 功能更新。 此功能更新将包含在今后所有的 SharePoint Server 订阅版公共更新中。 有关此功能更新的详细信息，请参阅 SharePoint Server 订阅版版本 24H1 中的新增功能和改进功能。

此安全更新包含对 SharePoint Server 订阅版中以下非安全问题的改进和修复：

• 允许用户在 SharePoint 页面中禁用 SharePoint 的内容安全策略 (CSP) HTTP 标头。 如果不想在 SharePoint 页面中启用 SharePoint CSP HTTP 标头，可以在 PowerShell 中运行以下 cmdlet：
  
  Add-PSSnapin Microsoft.SharePoint.PowerShell
  $farm = Get-SPFarm
  $farm.EnableCSPHeaderForPage = $false
  $farm.Update()

• 修复了以下问题：如果网站 URL 包含撇号 (') 字符，则选择分组视图的 查看所有 链接时，新式列表 Web 部件会冻结。

• 修复了使用从右到左 (RTL) 语言时，“编辑”按钮与列表项编辑窗格中的多行字段标题重叠的问题。

• 修复了通信站点的水平导航无法正确反映当前站点的问题。

• 修复了 SharePoint 网站主题自定义在表单尝试加载时将登录表单延迟 5 秒的问题。

• 修复了在快速编辑模式下将纯文本呈现为超链接的问题。

• 修复了经典 UI 未显示子网站的正确状态的问题。

此更新中的已知问题

• 安装此安全更新后，可能会遇到服务器无法加入现有 SharePoint 场的问题。 有关详细信息，请参阅如果服务器场包含由“证书管理”(KB5037978) 管理的证书，则无法将服务器添加到 SharePoint 场。

• 此安全更新还引入了较新版本的 Microsoft.Owin 组件。 由于 SharePoint Server 的 web.config 文件中引用了此组件的版本，因此必须运行升级操作来更新这些 Web.config 文件中的引用。 如果安装此安全更新而不运行升级操作，则在浏览到 SharePoint 网站时将会收到以下错误消息：

  无法加载文件或程序集 'Microsoft.Owin, Version=3.0.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' 或其依赖项之一。 系统找不到指定的文件。

  安装此安全更新后，使用以下方法之一运行升级操作：

  • 启动 SharePoint 产品和技术配置向导 (PSConfigUI.exe) 并升级。

  • 运行 SharePoint 产品配置向导 (PSCONFIG.EXE) 命令行工具：
    
    PSCONFIG.EXE -cmd secureresources -cmd services -install -cmd installfeatures -cmd applicationcontent -install -cmd upgrade -inplace b2b -wait

  • 运行以下 PowerShell 命令：
    
    Initialize-SPResourceSecurity
    Install-SPService
    Install-SPFeature -AllExistingFeatures
    Install-SPApplicationContent
    Upgrade-SPFarm

  运行此升级操作后，错误消息将消失。

  此操作是经过设计产生，因为必须在 SharePoint Server 的 Web.config 文件中注册新的组件版本。

  此问题将影响用户执行“零停机时间修补”(ZDP)，如 SharePoint Server 零停机时间修补步骤 中所述。 这是因为在运行升级操作之前，无法访问 SharePoint 网站。 当可以接受停机时，用户应准备好在维护时段内安装更新。

  或者，用户可以通过在给定服务器上安装更新后以及服务器返回到负载均衡轮换之前立即手动编辑每个 Web 应用程序的 Web.config 文件来避免停机。 为此，请按以下步骤操作：

  1. 在 web.config 文件的 配置 > 运行时 > assemblyBinding 配置中找到以下行：

     <dependentAssembly>
          <assemblyIdentity name="Microsoft.Owin" publicKeyToken="31bf3856ad364e35" culture="neutral" />
          <bindingRedirect oldVersion="0.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
     </dependentAssembly>

  2. 将找到的文本替换为以下行：

     <dependentAssembly>
          <assemblyIdentity name="Microsoft.Owin" publicKeyToken="31bf3856ad364e35" culture="neutral" />
          <bindingRedirect oldVersion="0.0.0.0-4.2.2.0" newVersion="4.2.2.0" />
     </dependentAssembly>

  在所有服务器上安装更新后，用户可以运行升级操作。 手动编辑 Web.config 文件不会干扰升级操作。

如何获取和安装更新

详细信息

有关保护和安全的信息

保护自己的上网安全： Windows 安全中心支持

了解如何防范网络威胁：Microsoft 安全

更改历史记录

下表汇总了本主题的一些最重要的更改。