博客地址:https://blog.51cto.com/13637423
如期而至,7月,微軟發佈了SharePoint Server不同版本的安全更新:修復了
Windows Communication Foundation (WCF) 和 Windows Identity Foundation (WIF) 中允許使用任意對稱密鑰簽署 SAML Token的Authentication Bypass的漏洞。
安全漏洞介紹
- CVE-2019-1006 | WCF/WIF SAML Token的Authentication Bypass的漏洞
此漏洞允許attacker 模擬另一個用戶,可能會導致權限的提升。該漏洞存在於 .NET Framework 的 WCF、WIF 3.5 及更高版本、Windows 的 WIF 1.0 組件、WIF Nuget 包以及 SharePoint 的 WIF 中。
- CVE-2019-1134 | Microsoft Office SharePoint XSS 漏洞
成功利用這些漏洞的attacker 可能在受影響的系統上執行跨站點腳本attack,這些attacks可讓attacker 者閱讀他們未授權閱讀的內容、在 SharePoint 網站上執行更改權限、刪除內容以及在用戶的瀏覽器中注入惡意內容等操作。
此更新下載地址:
-
SharePoint Server 2019,Version:16.0.10348.12104
Download security update 4475529 for the 64-bit version of SharePoint Server 2019請添加鏈接描述
-
SharePoint Server 2016,Version:16.0.4873.1000
Download security update 4475520 for the 64-bit version of SharePoint Enterprise Server 2016請添加鏈接描述
-
SharePoint Server 2013,Version:15.0.5153.1000
Download security update 4475522 for the 64-bit version of SharePoint Enterprise Server 2013請添加鏈接描述
注意:SharePoint 2013的安全更新必須在 Microsoft SharePoint Server 2013 Service Pack 1 基礎上安裝
此更新還提供了以下改進和修補程序:
SharePoint Server 2019:
- 在 EnterpriseProjectTypeCreationInformation 類中添加了 ProjectIdMinDigit、ProjectIdSeed、ProjectIdPostfix 和 ProjectIdPrefix 屬性,可以使用CSOM 更新EPT的項目標識符信息。
- 爲 CSOM 中的 ProjectCollection 類添加 ProjectQueuePublishSummary 方法,以便項目上的項目級字段可以獨立於整個項目進行發佈。
- 不再將類似以下的升級消息標記爲警告:“忽略升級序列: Microsoft.SharePoint.BusinessData.Upgrade.BdcDatabaseExtensionUpgradeSequence,因爲相關的內容數據庫擴展 Microsoft.SharePoint.BusinessData.SharedService.BdcDatabaseExtension 未啓用。”
- 使用 Copy-SPSite cmdlet 複製站點,無法使用 SPWeb.ResetRoleInheritance 方法重置角色繼承
- 修復了文件名中包含數字符號 (#) 的Office文件,由對該文件沒有足夠權限的用戶下載的問題。
- 修復了除非 SharePoint 應用程序池帳戶是本地管理員組的成員否則禁止 BLOB 緩存功能工作的問題。
- 修復了導致將錯誤的 MIME 類型用於存儲在 SharePoint 中的某些類型的文件(例如 .css) 文件)的問題
- 爲中文分詞系統添加了對新日本年號名稱的支持,以確保名稱將被正確斷字。
SharePoint Server 2016:
-
此更新包含了SharePoint Server 2016的功能包1和功能包2的新功能:
○ SharePoint Framework (SPFx)
○ 管理操作記錄
○ MinRole 增強功能
○ SharePoint 自定義磁貼
○ 混合審計(預覽)
○ 混合分類
○ 適用於 SharePoint 內部部署的 OneDrive API
○ OneDrive for Business 現代用戶體驗(適用於Software Assurance customers) -
此更新包含以下改進:
○ 爲中文分詞系統添加了對新日本年號名稱的支持,以確保名稱將被正確斷字。
○ 對通過OneDrive同步的文件夾中的筆記本進行常規改進。 - 包含以下非安全問題的修補程序:
○ 具有保留策略的網站集中內容的模板,無法創建子網站。
○ 如果搜索服務應用程序 中有超過1萬個託管屬性,則查詢生成器需要很長時間才能加載或超時。
○ 在 UI 模式下執行備份和還原操作後,重新執行備份和還原操作發生錯誤。
使用 Copy-SPSite cmdlet 複製站點,無法使用 SPWeb.ResetRoleInheritance 方法重置角色繼承
最後,提醒大家,如果您計劃安裝到新的更新,最好先測試後在生產環境執行。