SharePoint: 2019年7月安全更新,提高安全漏洞的處理,請儘快更新
博客地址:https://blog.51cto.com/13637423css
如期而至,7月,微軟發佈了SharePoint Server不一樣版本的安全更新:修復了
Windows Communication Foundation (WCF) 和 Windows Identity Foundation (WIF) 中容許使用任意對稱密鑰簽署 SAML Token的Authentication Bypass的漏洞。git
安全漏洞介紹
- CVE-2019-1006 | WCF/WIF SAML Token的Authentication Bypass的漏洞
此漏洞容許attacker 模擬另外一個用戶,可能會致使權限的提高。該漏洞存在於 .NET Framework 的 WCF、WIF 3.5 及更高版本、Windows 的 WIF 1.0 組件、WIF Nuget 包以及 SharePoint 的 WIF 中。數據庫
- CVE-2019-1134 | Microsoft Office SharePoint XSS 漏洞
成功利用這些漏洞的attacker 可能在受影響的系統上執行跨站點腳本attack,這些attacks可以讓attacker 者閱讀他們未受權閱讀的內容、在 SharePoint 網站上執行更改權限、刪除內容以及在用戶的瀏覽器中注入惡意內容等操做。瀏覽器
此更新下載地址:
-
SharePoint Server 2019,Version:16.0.10348.12104緩存
Download security update 4475529 for the 64-bit version of SharePoint Server 2019安全
-
SharePoint Server 2016,Version:16.0.4873.1000ide
Download security update 4475520 for the 64-bit version of SharePoint Enterprise Server 2016測試
-
SharePoint Server 2013,Version:15.0.5153.1000網站
Download security update 4475522 for the 64-bit version of SharePoint Enterprise Server 20133d
注意:SharePoint 2013的安全更新必須在 Microsoft SharePoint Server 2013 Service Pack 1 基礎上安裝
此更新還提供瞭如下改進和修補程序:
SharePoint Server 2019:
- 在 EnterpriseProjectTypeCreationInformation 類中添加了 ProjectIdMinDigit、ProjectIdSeed、ProjectIdPostfix 和 ProjectIdPrefix 屬性,能夠使用CSOM 更新EPT的項目標識符信息。
- 爲 CSOM 中的 ProjectCollection 類添加 ProjectQueuePublishSummary 方法,以便項目上的項目級字段能夠獨立於整個項目進行發佈。
- 再也不將相似如下的升級消息標記爲警告:「忽略升級序列: Microsoft.SharePoint.BusinessData.Upgrade.BdcDatabaseExtensionUpgradeSequence,由於相關的內容數據庫擴展 Microsoft.SharePoint.BusinessData.SharedService.BdcDatabaseExtension 未啓用。」
- 使用 Copy-SPSite cmdlet 複製站點,沒法使用 SPWeb.ResetRoleInheritance 方法重置角色繼承
- 修復了文件名中包含數字符號 (#) 的Office文件,由對該文件沒有足夠權限的用戶下載的問題。
- 修復了除非 SharePoint 應用程序池賬戶是本地管理員組的成員不然禁止 BLOB 緩存功能工做的問題。
- 修復了致使將錯誤的 MIME 類型用於存儲在 SharePoint 中的某些類型的文件(例如 .css) 文件)的問題
- 爲中文分詞系統添加了對新日本年號名稱的支持,以確保名稱將被正確斷字。
SharePoint Server 2016:
-
此更新包含了SharePoint Server 2016的功能包1和功能包2的新功能:
○ SharePoint Framework (SPFx)
○ 管理操做記錄
○ MinRole 加強功能
○ SharePoint 自定義磁貼
○ 混合審計(預覽)
○ 混合分類
○ 適用於 SharePoint 內部部署的 OneDrive API
○ OneDrive for Business 現代用戶體驗(適用於Software Assurance customers) -
此更新包含如下改進:
○ 爲中文分詞系統添加了對新日本年號名稱的支持,以確保名稱將被正確斷字。
○ 對經過OneDrive同步的文件夾中的筆記本進行常規改進。 - 包含如下非安全問題的修補程序:
○ 具備保留策略的網站集中內容的模板,沒法建立子網站。
○ 若是搜索服務應用程序 中有超過1萬個託管屬性,則查詢生成器須要很長時間才能加載或超時。
○ 在 UI 模式下執行備份和還原操做後,從新執行備份和還原操做發生錯誤。
使用 Copy-SPSite cmdlet 複製站點,沒法使用 SPWeb.ResetRoleInheritance 方法重置角色繼承
最後,提醒你們,若是您計劃安裝到新的更新,最好先測試後在生產環境執行。
- 1. Win10三月更新修復Edge瀏覽器PDF安全漏洞
- 2. RHSA-2019:2471-中危: openssl 安全更新。
- 3. 微軟發佈緊急安全更新:應對Flash Player漏洞
- 4. 安全CCIE要更新了。。
- 5. Laravel 重大安全更新
- 6. Android P 安全性更新
- 7. ubuntu 更新和安全
- 8. Windows 10系統去年的安全漏洞比Windows7更多
- 9. Microsoft發佈2020年10月安全更新
- 10. 漏洞安全
- 更多相關文章...
- • ADO 更新記錄 - ADO 教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Composer 安裝與使用
- • Tomcat學習筆記(史上最全tomcat學習筆記)
-
每一个你不满意的现在,都有一个你没有努力的曾经。