SharePoint: 2019年7月安全更新,提升安全漏洞的处理,请尽快更新

最新推荐文章于 2024-09-16 11:36:07 发布
最新推荐文章于 2024-09-16 11:36:07 发布
阅读量278 收藏
点赞数
文章标签: ui 数据库
原文链接:http://blog.51cto.com/13637423/2420375
版权

博客地址:https://blog.51cto.com/13637423

如期而至,7月,微软发布了SharePoint Server不同版本的安全更新:修复了
Windows Communication Foundation (WCF) 和 Windows Identity Foundation (WIF) 中允许使用任意对称密钥签署 SAML Token的Authentication Bypass的漏洞。

安全漏洞介绍

  • CVE-2019-1006 | WCF/WIF SAML Token的Authentication Bypass的漏洞

此漏洞允许attacker 模拟另一个用户,可能会导致权限的提升。该漏洞存在于 .NET Framework 的 WCF、WIF 3.5 及更高版本、Windows 的 WIF 1.0 组件、WIF Nuget 包以及 SharePoint 的 WIF 中。

  • CVE-2019-1134 | Microsoft Office SharePoint XSS 漏洞

成功利用这些漏洞的attacker 可能在受影响的系统上执行跨站点脚本attack,这些attacks可让attacker 者阅读他们未授权阅读的内容、在 SharePoint 网站上执行更改权限、删除内容以及在用户的浏览器中注入恶意内容等操作。

此更新下载地址:

此更新还提供了以下改进和修补程序:

SharePoint Server 2019:

  • 在 EnterpriseProjectTypeCreationInformation 类中添加了 ProjectIdMinDigit、ProjectIdSeed、ProjectIdPostfix 和 ProjectIdPrefix 属性,可以使用CSOM 更新EPT的项目标识符信息。
  • 为 CSOM 中的 ProjectCollection 类添加 ProjectQueuePublishSummary 方法,以便项目上的项目级字段可以独立于整个项目进行发布。 
  • 不再将类似以下的升级消息标记为警告:“忽略升级序列: Microsoft.SharePoint.BusinessData.Upgrade.BdcDatabaseExtensionUpgradeSequence,因为相关的内容数据库扩展 Microsoft.SharePoint.BusinessData.SharedService.BdcDatabaseExtension 未启用。”
  • 使用 Copy-SPSite cmdlet 复制站点,无法使用 SPWeb.ResetRoleInheritance 方法重置角色继承
  • 修复了文件名中包含数字符号 (#) 的Office文件,由对该文件没有足够权限的用户下载的问题。
  • 修复了除非 SharePoint 应用程序池帐户是本地管理员组的成员否则禁止 BLOB 缓存功能工作的问题。 
  • 修复了导致将错误的 MIME 类型用于存储在 SharePoint 中的某些类型的文件(例如 .css) 文件)的问题
  • 为中文分词系统添加了对新日本年号名称的支持,以确保名称将被正确断字。

SharePoint Server 2016:

  • 此更新包含了SharePoint Server 2016的功能包1和功能包2的新功能:
    ○ SharePoint Framework (SPFx)
    ○ 管理操作记录
    ○ MinRole 增强功能
    ○ SharePoint 自定义磁贴
    ○ 混合审计(预览)
    ○ 混合分类
    ○ 适用于 SharePoint 内部部署的 OneDrive API
    ○ OneDrive for Business 现代用户体验(适用于Software Assurance customers)

  • 此更新包含以下改进:

    ○ 为中文分词系统添加了对新日本年号名称的支持,以确保名称将被正确断字。
    ○ 对通过OneDrive同步的文件夹中的笔记本进行常规改进。

  • 包含以下非安全问题的修补程序:
    ○ 具有保留策略的网站集中内容的模板,无法创建子网站。
    ○ 如果搜索服务应用程序 中有超过1万个托管属性,则查询生成器需要很长时间才能加载或超时。
    ○ 在 UI 模式下执行备份和还原操作后,重新执行备份和还原操作发生错误。
    使用 Copy-SPSite cmdlet 复制站点,无法使用 SPWeb.ResetRoleInheritance 方法重置角色继承

最后,提醒大家,如果您计划安装到新的更新,最好先测试后在生产环境执行。

biyeqian0623
关注
SharePoint2019安装部署
06-22
SharePoint Portal Server 是一个门户站点,使得企业能够开发出智能的门户站点,这个站点能够无缝连接到用户、团队和知识。因此人们能够更好地利用业务流程中的相关信息,更有效地开展工作。
CVE-2019-16097 || Harbor任意管理员注册漏洞复现
Summer's blog
05-13 3751
目录 0x01 前言 0x02 漏洞简介及危害 0x03 漏洞复现 0x04 修复建议 #0x01 前言 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全...
java 访问sharepointonline(STS)得到token的方法
My‘s Csdn
07-20 1122
方法1: 通过httpclient直接访问, 方法2:通过soapclient连接 方法3:研究中。。。 方法2实装:                 InputStreamfis = SoapClient.class.getResourceAsStream("SALM.xml");                 SOAPMessagerequest = MessageFa
微软SharePoint发现高危XSS漏洞
weixin_33768481的博客
05-01 189
近日,微软安全应急小组确认了微软SharePoint Server 2007产品中的严重跨站脚本漏洞(XSS)的存在。该漏洞可以通过浏览器被利用,使***通过漏洞程序执行任意的JavaScript代码。该漏洞的具体细节已经被公布,微软预计在本周末发布的安全报告上将 提供补丁修复这一漏洞。 下面是关于这个漏洞的一些细节: 该漏洞是没有正确的处理“/_la...
SharePoint中的权限提升
bangwei1578的博客
02-04 141
SharePoint中,需要对某个没有权限的列表库进行访问和操作时,可以对当前用户的权限进行提升 SPSecurity.RunWithElevatedPrivileges(delegate() { using (SPSite site = new SPSite(“URL”)) { ...
记录一个在SharePoint的代码中提升运行权限的方法
weixin_34392843的博客
02-02 130
方法: SPSecurity.RunWithElevatedPrivileges 命名空间: Microsoft.SharePoint程序集: Microsoft.SharePoint (in microsoft.sharepoint.dll)   使用方法:SPSecurity.RunWithElevatedPrivileges(delegate() { using (SPSite ...
sharepoint:External用于外部存储的Nextcloud SharePoint后端
04-09
SharePoint :floppy_disk: 用于外部存储的Nextcloud SharePoint后端 利用SharePoint后端,管理员可以将SharePoint文档库添加为Nextcloud中的文件夹。 这为用户提供了一种在他们找到其他文件的相同位置访问...
SharePoint2016&2019试用版 安装指导
04-12
### SharePoint2016&2019试用版安装指南详析 #### 概述 随着企业级信息管理需求的日益增长,Microsoft SharePoint作为一款功能强大的协作平台和文档管理系统,为企业提供了集文档管理、团队协作、信息共享等功能于...
SharePoint-Patch-Script:Russ Maxwell的“ 5小时” SharePoint Patch脚本的更新版本,支持SharePoint 2013、2016和2019
05-23
Russ Maxwell的“ 5小时” SharePoint修补程序脚本的更新版本,支持SharePoint 2013,SharePoint 2016和SharePoint2019。RussMaxwell为SharePoint 2013创建了原始脚本,此脚本已进行了更新,并具有一些新功能: 在...
DDoS 产业互联网安全观测:医疗行业安全风险分析 - webview.zip
11-06
DDoS 产业互联网安全观测:医疗行业安全风险分析 - webview 访问管理 安全开发 渗透测试 防火墙 安全架构
sharepoint 权限提升和杜绝当前上下文环境影响
weixin_30273931的博客
12-13 78
权限提升的两种方式: SPSecurity.RunWithElevatedPrivileges(delegate() { ListItem.Web.AllowUnsafeUpdates = true; ListItem["ZhDocID"] = DocID; ListItem["ZhDocDescription"] = DocDescription;...
如何获取SharePoint online(O365)的token
风生晚凉的博客
01-23 4485
尽管微软给我们提供了认证的API,不过在实际开发中,我们还是经常需要用到认证所需的Token的。本篇文章就介绍如何获取SharePoint Online(O365)的认证Token。 这里我们可以用Java,C#,C/C++等一切语言来实现。JavaScript除外,因为涉及到跨域的问题。 一、获取Security Token。 通过post方式访问 [https://login.micro
SharePoint 权限提升的方法
段传涛 的专栏
01-09 1761
普通方法 SPSecurity.RunWithElevatedPrivileges(delegate() { using (SPSite Site = new SPSite(SiteId)) { using (SPWeb Web = Site.OpenWeb(WebUrl)) { ... } } })
Microsoft SharePoint Server 中的漏洞可能允许远程执行代码 (2834052)
weixin_34250709的博客
09-11 177
摘要 此安全更新可解决 Microsoft Office Server 软件中一个公开披露的漏洞和九个秘密报告的漏洞。如果攻击者向受影响的服务器发送特制内容,最严重的漏洞可能允许在 W3WP 服务帐户的上下文中远程执行代码。 对于 Microsoft SharePoint Server 2007、Microsoft SharePoint Server 2010、Microsoft ShareP...
基于stm32使用ucgui+GUIBuilder开发ui实例
最新发布
梦想启航
09-16 772
基于stm32使用ucgui+GUIBuilder开发ui实例,实现了3个自锁按键功能,当按键按下绿色显示,取消恢复默认颜色,将按下按键存储到stm32内部flash,掉电后能恢复选择的状态
element实现动态路由+面包屑
爱敲代码的卡拉米的博客
09-14 534
是 Element UI 组件库中的一个面包屑导航组件,它用于显示当前页面的路径,帮助用户快速理解和导航到应用的各个部分。但是,如果你需要基于非路由变化来更新面包屑,你可能需要手动管理一个状态,并在状态变化时更新面包屑的显示。组件提供了基本的样式,但你也可以通过 CSS 来自定义它的外观,比如改变分隔符的样式、面包屑项的字体大小等。如果你的应用是响应式的,并且路由变化时面包屑也应该更新,通常 Vue Router 会自动处理这些,因为。在你的 Vue 组件中,你可以这样使用。组件用于创建一个面包屑导航,
Perfetto slice提示App Deadline Missed
安卓美女
09-12 962
的问题通常是由于主线程被阻塞或任务执行时间过长。减少主线程的任务。优化 UI 渲染,简化布局和绘制逻辑。使用异步任务处理耗时操作。使用工具进行详细的性能分析,找到具体的瓶颈并优化。这些步骤有助于提升应用的流畅度,避免掉帧和卡顿。
Perfetto 如何查看主线程哪些操作最耗时
安卓美女
09-12 592
使用 Perfetto,结合时间轴上的主线程 slice,查看调用栈和方法详细信息,可以帮助你定位主线程上的性能瓶颈。重点关注长时间执行的操作,并通过 CPU Profiler 进行线程状态的分析,找出具体的耗时原因,最终针对性地进行优化。
Halo 开发者指南——项目运行、构建
一直在路上
09-14 1054
不要直接使用 UI 的运行端口(3000 / 4000)访问,会因为跨域问题导致无法正常登录,建议按照后续的步骤以 dev 的配置文件运行 Halo,在 dev 的配置文件中,我们默认代理了 UI 页面的访问地址,所以后续访问 UI 页面使用。当然,在我们的最终发布版本的时候会在 CI 中自动构建 UI 到 Halo 主项目。指 Halo 所依赖的工作目录,在 Halo 运行的时候会在系统当前用户目录下产生一个 halo-next 的文件夹,绝对路径为 ~/halo-next。
博格公司SharePoint:全面信息安全与自动化管理方案
博格公司提供的SharePoint完整解决方案是一个专为大型企业设计的高效IT服务,旨在通过微软权限管理服务(RMS)实现文档的安全与合规管理。该方案的核心功能包括: 1. **文件管理**:系统支持新建、修订、作废文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值