SharePoint: 2019年7月安全更新,提升安全漏洞的处理,请尽快更新
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SharePoint: 2019年7月安全更新,提升安全漏洞的处理,请尽快更新相关的知识,希望对你有一定的参考价值。
博客地址:https://blog.51cto.com/13637423如期而至,7月,微软发布了SharePoint Server不同版本的安全更新:修复了
Windows Communication Foundation (WCF) 和 Windows Identity Foundation (WIF) 中允许使用任意对称密钥签署 SAML Token的Authentication Bypass的漏洞。
安全漏洞介绍
- CVE-2019-1006 | WCF/WIF SAML Token的Authentication Bypass的漏洞
此漏洞允许attacker 模拟另一个用户,可能会导致权限的提升。该漏洞存在于 .NET Framework 的 WCF、WIF 3.5 及更高版本、Windows 的 WIF 1.0 组件、WIF Nuget 包以及 SharePoint 的 WIF 中。
- CVE-2019-1134 | Microsoft Office SharePoint XSS 漏洞
成功利用这些漏洞的attacker 可能在受影响的系统上执行跨站点脚本attack,这些attacks可让attacker 者阅读他们未授权阅读的内容、在 SharePoint 网站上执行更改权限、删除内容以及在用户的浏览器中注入恶意内容等操作。
此更新下载地址:
-
SharePoint Server 2019,Version:16.0.10348.12104
Download security update 4475529 for the 64-bit version of SharePoint Server 2019请添加链接描述
-
SharePoint Server 2016,Version:16.0.4873.1000
Download security update 4475520 for the 64-bit version of SharePoint Enterprise Server 2016请添加链接描述
-
SharePoint Server 2013,Version:15.0.5153.1000
Download security update 4475522 for the 64-bit version of SharePoint Enterprise Server 2013请添加链接描述
注意:SharePoint 2013的安全更新必须在 Microsoft SharePoint Server 2013 Service Pack 1?基础上安装
此更新还提供了以下改进和修补程序:
SharePoint Server 2019:
- 在?EnterpriseProjectTypeCreationInformation 类中添加了?ProjectIdMinDigit、ProjectIdSeed、ProjectIdPostfix?和?ProjectIdPrefix?属性,可以使用CSOM 更新EPT的项目标识符信息。
- 为 CSOM 中的?ProjectCollection?类添加?ProjectQueuePublishSummary?方法,以便项目上的项目级字段可以独立于整个项目进行发布。?
- 不再将类似以下的升级消息标记为警告:“忽略升级序列: Microsoft.SharePoint.BusinessData.Upgrade.BdcDatabaseExtensionUpgradeSequence,因为相关的内容数据库扩展 Microsoft.SharePoint.BusinessData.SharedService.BdcDatabaseExtension 未启用。”
- 使用 Copy-SPSite cmdlet 复制站点,无法使用 SPWeb.ResetRoleInheritance 方法重置角色继承
- 修复了文件名中包含数字符号 (#) 的Office文件,由对该文件没有足够权限的用户下载的问题。
- 修复了除非 SharePoint 应用程序池帐户是本地管理员组的成员否则禁止 BLOB 缓存功能工作的问题。?
- 修复了导致将错误的 MIME 类型用于存储在 SharePoint 中的某些类型的文件(例如 .css) 文件)的问题
- 为中文分词系统添加了对新日本年号名称的支持,以确保名称将被正确断字。
SharePoint Server 2016:
-
此更新包含了SharePoint Server 2016的功能包1和功能包2的新功能:
○ SharePoint Framework (SPFx)
○ 管理操作记录
○ MinRole 增强功能
○ SharePoint 自定义磁贴
○ 混合审计(预览)
○ 混合分类
○ 适用于 SharePoint 内部部署的 OneDrive API
○ OneDrive for Business 现代用户体验(适用于Software Assurance customers) -
此更新包含以下改进:
○ 为中文分词系统添加了对新日本年号名称的支持,以确保名称将被正确断字。
○ 对通过OneDrive同步的文件夹中的笔记本进行常规改进。 - 包含以下非安全问题的修补程序:
○ 具有保留策略的网站集中内容的模板,无法创建子网站。
○ 如果搜索服务应用程序 中有超过1万个托管属性,则查询生成器需要很长时间才能加载或超时。
○ 在 UI 模式下执行备份和还原操作后,重新执行备份和还原操作发生错误。
使用 Copy-SPSite cmdlet 复制站点,无法使用 SPWeb.ResetRoleInheritance 方法重置角色继承
最后,提醒大家,如果您计划安装到新的更新,最好先测试后在生产环境执行。
以上是关于SharePoint: 2019年7月安全更新,提升安全漏洞的处理,请尽快更新的主要内容,如果未能解决你的问题,请参考以下文章
PHP 5.6 已结束安全支持,你升级到 PHP 7 系列了吗?