SharePoint: 2019年7月安全更新，提升安全漏洞的处理，请尽快更新

博客地址：https://blog.51cto.com/13637423

如期而至，7月，微软发布了SharePoint Server不同版本的安全更新：修复了
Windows Communication Foundation (WCF) 和 Windows Identity Foundation (WIF) 中允许使用任意对称密钥签署 SAML Token的Authentication Bypass的漏洞。

安全漏洞介绍

• CVE-2019-1006 | WCF/WIF SAML Token的Authentication Bypass的漏洞

此漏洞允许attacker 模拟另一个用户，可能会导致权限的提升。该漏洞存在于 .NET Framework 的 WCF、WIF 3.5 及更高版本、Windows 的 WIF 1.0 组件、WIF Nuget 包以及 SharePoint 的 WIF 中。

• CVE-2019-1134 | Microsoft Office SharePoint XSS 漏洞

成功利用这些漏洞的attacker 可能在受影响的系统上执行跨站点脚本attack，这些attacks可让attacker 者阅读他们未授权阅读的内容、在 SharePoint 网站上执行更改权限、删除内容以及在用户的浏览器中注入恶意内容等操作。

此更新下载地址：

• SharePoint Server 2019，Version：16.0.10348.12104

  Download security update 4475529 for the 64-bit version of SharePoint Server 2019

• SharePoint Server 2016，Version：16.0.4873.1000

  Download security update 4475520 for the 64-bit version of SharePoint Enterprise Server 2016

• SharePoint Server 2013，Version：15.0.5153.1000

  Download security update 4475522 for the 64-bit version of SharePoint Enterprise Server 2013

  注意：SharePoint 2013的安全更新必须在 Microsoft SharePoint Server 2013 Service Pack 1 基础上安装

此更新还提供了以下改进和修补程序：

SharePoint Server 2019：

• 在 EnterpriseProjectTypeCreationInformation 类中添加了 ProjectIdMinDigit、ProjectIdSeed、ProjectIdPostfix 和 ProjectIdPrefix 属性，可以使用CSOM 更新EPT的项目标识符信息。
• 为 CSOM 中的 ProjectCollection 类添加 ProjectQueuePublishSummary 方法，以便项目上的项目级字段可以独立于整个项目进行发布。 
• 不再将类似以下的升级消息标记为警告：“忽略升级序列： Microsoft.SharePoint.BusinessData.Upgrade.BdcDatabaseExtensionUpgradeSequence，因为相关的内容数据库扩展 Microsoft.SharePoint.BusinessData.SharedService.BdcDatabaseExtension 未启用。”
• 使用 Copy-SPSite cmdlet 复制站点，无法使用 SPWeb.ResetRoleInheritance 方法重置角色继承
• 修复了文件名中包含数字符号 (#) 的Office文件，由对该文件没有足够权限的用户下载的问题。
• 修复了除非 SharePoint 应用程序池帐户是本地管理员组的成员否则禁止 BLOB 缓存功能工作的问题。 
• 修复了导致将错误的 MIME 类型用于存储在 SharePoint 中的某些类型的文件（例如 .css) 文件）的问题
• 为中文分词系统添加了对新日本年号名称的支持，以确保名称将被正确断字。

SharePoint Server 2016：

• 此更新包含了SharePoint Server 2016的功能包1和功能包2的新功能：
  ○ SharePoint Framework (SPFx)
  ○ 管理操作记录
  ○ MinRole 增强功能
  ○ SharePoint 自定义磁贴
  ○ 混合审计（预览）
  ○ 混合分类
  ○ 适用于 SharePoint 内部部署的 OneDrive API
  ○ OneDrive for Business 现代用户体验（适用于Software Assurance customers）

• 此更新包含以下改进：

  ○ 为中文分词系统添加了对新日本年号名称的支持，以确保名称将被正确断字。
  ○ 对通过OneDrive同步的文件夹中的笔记本进行常规改进。

• 包含以下非安全问题的修补程序：
  ○ 具有保留策略的网站集中内容的模板，无法创建子网站。
  ○ 如果搜索服务应用程序 中有超过1万个托管属性，则查询生成器需要很长时间才能加载或超时。
  ○ 在 UI 模式下执行备份和还原操作后，重新执行备份和还原操作发生错误。
  使用 Copy-SPSite cmdlet 复制站点，无法使用 SPWeb.ResetRoleInheritance 方法重置角色继承

最后，提醒大家，如果您计划安装到新的更新，最好先测试后在生产环境执行。