SharePoint: 2019年7月安全更新,提升安全漏洞的處理,請儘快更新

原創 Shelley0415 2019-07-16 13:22

博客地址:https://blog.51cto.com/13637423

如期而至,7月,微軟發佈了SharePoint Server不同版本的安全更新:修復了
Windows Communication Foundation (WCF) 和 Windows Identity Foundation (WIF) 中允許使用任意對稱密鑰簽署 SAML Token的Authentication Bypass的漏洞。

安全漏洞介紹

  • CVE-2019-1006 | WCF/WIF SAML Token的Authentication Bypass的漏洞

此漏洞允許attacker 模擬另一個用戶,可能會導致權限的提升。該漏洞存在於 .NET Framework 的 WCF、WIF 3.5 及更高版本、Windows 的 WIF 1.0 組件、WIF Nuget 包以及 SharePoint 的 WIF 中。

  • CVE-2019-1134 | Microsoft Office SharePoint XSS 漏洞

成功利用這些漏洞的attacker 可能在受影響的系統上執行跨站點腳本attack,這些attacks可讓attacker 者閱讀他們未授權閱讀的內容、在 SharePoint 網站上執行更改權限、刪除內容以及在用戶的瀏覽器中注入惡意內容等操作。

此更新下載地址:

此更新還提供了以下改進和修補程序:

SharePoint Server 2019:

  • 在 EnterpriseProjectTypeCreationInformation 類中添加了 ProjectIdMinDigit、ProjectIdSeed、ProjectIdPostfix 和 ProjectIdPrefix 屬性,可以使用CSOM 更新EPT的項目標識符信息。
  • 爲 CSOM 中的 ProjectCollection 類添加 ProjectQueuePublishSummary 方法,以便項目上的項目級字段可以獨立於整個項目進行發佈。 
  • 不再將類似以下的升級消息標記爲警告:“忽略升級序列: Microsoft.SharePoint.BusinessData.Upgrade.BdcDatabaseExtensionUpgradeSequence,因爲相關的內容數據庫擴展 Microsoft.SharePoint.BusinessData.SharedService.BdcDatabaseExtension 未啓用。”
  • 使用 Copy-SPSite cmdlet 複製站點,無法使用 SPWeb.ResetRoleInheritance 方法重置角色繼承
  • 修復了文件名中包含數字符號 (#) 的Office文件,由對該文件沒有足夠權限的用戶下載的問題。
  • 修復了除非 SharePoint 應用程序池帳戶是本地管理員組的成員否則禁止 BLOB 緩存功能工作的問題。 
  • 修復了導致將錯誤的 MIME 類型用於存儲在 SharePoint 中的某些類型的文件(例如 .css) 文件)的問題
  • 爲中文分詞系統添加了對新日本年號名稱的支持,以確保名稱將被正確斷字。

SharePoint Server 2016:

  • 此更新包含了SharePoint Server 2016的功能包1和功能包2的新功能:
    ○ SharePoint Framework (SPFx)
    ○ 管理操作記錄
    ○ MinRole 增強功能
    ○ SharePoint 自定義磁貼
    ○ 混合審計(預覽)
    ○ 混合分類
    ○ 適用於 SharePoint 內部部署的 OneDrive API
    ○ OneDrive for Business 現代用戶體驗(適用於Software Assurance customers)

  • 此更新包含以下改進:

    ○ 爲中文分詞系統添加了對新日本年號名稱的支持,以確保名稱將被正確斷字。
    ○ 對通過OneDrive同步的文件夾中的筆記本進行常規改進。

  • 包含以下非安全問題的修補程序:
    ○ 具有保留策略的網站集中內容的模板,無法創建子網站。
    ○ 如果搜索服務應用程序 中有超過1萬個託管屬性,則查詢生成器需要很長時間才能加載或超時。
    ○ 在 UI 模式下執行備份和還原操作後,重新執行備份和還原操作發生錯誤。
    使用 Copy-SPSite cmdlet 複製站點,無法使用 SPWeb.ResetRoleInheritance 方法重置角色繼承

最後,提醒大家,如果您計劃安裝到新的更新,最好先測試後在生產環境執行。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Powershell 功能函數大全(Sharepoint 2013/2010)

Powershell 功能函數大全 說明: 本文章講述powershell操作大全,是筆者多時積累完成。一步步從底層網站架構搭建,到網頁內容的呈現, 均由powershell完成。 考慮到網站內容框架的移植,比如從開發環境到測試環境,再到

Tristan_Dong 2020-07-07 23:01:12

Client Call SharePoint Web Service(SOAP)

I am working on a project to create newsletters to send to my customers, and experimenting with a few ways to collect t

Tristan_Dong 2020-07-07 23:01:12

How to get current date time in SharePoint Site Time Zone

if SharePoint time zone is different from server: SPWeb currentWeb = SPContext.Current.Web; DateTime utcDateTime = Date

Tristan_Dong 2020-07-07 23:01:12

The Future for SharePoint: On Premises Vs Online

Everyone has an opinion about SharePoint. They think it’s horrible. They love it. They think Office 365 (and SharePoint

Tristan_Dong 2020-07-07 23:01:12

Post/Reply a post by Social feed REST API in SharePoint 2013

As we know, we can post/reply a post in Newsfeed for my site, but how can we apply by JS? SharePoint provide the REST A

Tristan_Dong 2020-07-07 23:01:12

Sharepoint 2013 master page related error

Error: The page '/_catalogs/masterpage/__DeviceChannelMappings.aspx' allows a limit of 11 direct dependencies, and that

chenchen615 2020-07-07 19:58:35

Creating a Custom Timer Job Definition

轉載:http://www.codeproject.com/Articles/403323/SharePoint-2010-Create-Custom-Timer-Jobs What is a Timer Job? A Timer J

chenchen615 2020-07-07 19:58:35

Moss2007配置--AJAX支持

        在web開發中,開發人員經常要考慮到的一個問題就是如何提升用戶體驗,用戶往往最不願意看到的是他每點擊一次按鈕/鏈接,哪怕只是小部分的頁面刷新,頁面都會持續一段時間的空白,而AJAX的出現正好讓有此需求的開發人員眼前一亮。遺

showilove 2020-07-06 10:05:29

Sharepoint 2010:如何定製Master page精華帖整合

最近要對Sharepoint 2010改變樣式和母版頁,在網上花了很多時間蒐集資料研究,多是國外網站: http://www.thesharepointblog.net/Lists/Posts/Post.aspx?List=815f255

Chinamaggie 2020-07-04 19:55:06

Sharepoint 2010:如何在Master page引用jQuery

1. 以管理員的身份登錄網站,進入Site Actions>Site settings>Site Adimistration>Site libraries and lists>Customize "Style Library" ,找到存放

Chinamaggie 2020-07-04 19:55:06

WSSv3 Technical Articles_最佳實踐:Windows SharePoint Services對象使用Disposable

WSSv3 Technical Articles_最佳實踐:Windows SharePoint Services對象使用Disposable 摘要:學習在Microsoft .NET Framework下使用Windows ShareP

rickyll 2020-07-04 08:49:37

用於 Microsoft SharePoint 技術的 Microsoft SQL Server 2005 Reporting Services 外接程序

概述 用於 SharePoint 技術的 Microsoft SQL Server 2005 Reporting Services 外接程序(Reporting Services 外接程序)使您可以在 Windows SharePoin

rickyll 2020-07-04 08:49:37

Sharepoint Server與Reporting Services整合配置——Part1

昨天裝了MOSS,試着跟SSRS整合,弄了一個下午,把安轉碰到的麻煩寫出來跟大家分享一下。 按照MSDN(1 February 2007)上的說法,SPS(microsoft office 2007 sharepoint server

rickyll 2020-07-04 08:49:37

深度.net——成都2010年仲夏.NET社區精英活動

深度.net——成都2010年仲夏.NET社區精英活動     Visual Studio 2010的發佈意味着大量新產品特性的全新亮相,更重要的是——行業巨人微軟優雅轉身,全面應用敏捷編程到日常工作中。那麼我們程序員如何學習微軟,讓敏捷

iteye_1369 2020-07-03 17:52:45

Create Managed Accounts in SharePoint

Through UI: ·        Create a user inAD ·        OpenCentral Administration and clickSecurity. ·        Navigate toGen

心诚则灵 2020-06-29 19:54:58