使用声明身份验证的 Web 应用程序需要更新 (SharePoint Server 2010)
适用于: SharePoint Foundation 2010, SharePoint Server 2010
上一次修改主题: 2016-11-30
**规则名称:**使用声明身份验证的 Web 应用程序需要更新
**事件 ID:**无
**摘要:**使用基于声明的身份验证的 Web 应用程序存在一个潜在的安全漏洞,该漏洞可能允许用户提升权限。承载使用基于声明的身份验证的 Web 应用程序的 Web 服务器可能易受攻击。
**原因:**当您将基于 Microsoft ASP.NET 2.0 的 Web 应用程序部署到承载于运行 Microsoft SharePoint Server 2010 的服务器上的网站,并且您已在服务器上的集成模式下运行 Internet Information Services (IIS) 7.0 或 IIS 7.5 时,会出现此情况。
如果您在 SharePoint 网站上部署部分信任的 Web 部件或创建外部列表,则这些 Web 部件或外部列表所具有的权限会多于它们应具有的权限。此问题可能会使 SharePoint 网站面临安全风险。例如,这些 Web 部件或外部列表可能会意外生成数据库请求或 HTTP 请求。
此问题是因 ASP.NET 2.0 身份验证组件发生更改导致出现的。该更改会促使部分信任的 Web 部件或外部列表模拟应用程序池帐户。因此,Web 部件具有访问 SharePoint 网站的完全权限。
解决方案:安装更新
若要下载更新,请转到 KB979917 - Sharepoint 问题的 QFE - 性能计数器修复和用户模拟(该链接可能指向英文页面)。
有关更新的详细信息,请参阅知识库文章 979917。