Améliorations SharePoint 2016

Corriger une vulnérabilité dans SharePoint 2013 pour votre sécurité

Une vulnérabilité a été corrigée dans Microsoft SharePoint Server. Elle permet à un attaquant de provoquer une élévation de privilèges. Il s’agit d’une mise à jour de sécurité de niveau important pour Microsoft SharePoint Server 2013 et Microsoft SharePoint Foundation 2013.

Il s’agit d’une vulnérabilité d’élévation de privilèges. Un développeur malicieux peut développer une application qui exploite cette vulnérabilité.

Notamment, l’application doit utiliser le modèle d’extensibilité de SharePoint pour exécuter du code JavaScript arbitraire avec les droits de l’utilisateur authentifié courant.

Le danger réside dans le fait qu’un attaquant pourrait créer une application spécialement conçue pour exploiter cette vulnérabilité, puis convaincre les utilisateurs de l’installer afin d’exploiter la faille si elle n’est pas corrigée.

Si cet objectif est atteint, l’application peut contourner la gestion des autorisations. Elle pourrait alors exécuter du code arbitraire dans le contexte de sécurité de l’utilisateur connecté.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser une application spécialement conçue pour exécuter du script arbitraire dans le contexte de sécurité de l’utilisateur connecté.

Par exemple, le script pourrait agir sur le site SharePoint affecté avec les mêmes autorisations que l’utilisateur connecté.

Cette vulnérabilité concerne :

  • Microsoft SharePoint Server 2013 avec ou sans SP1
  • SharePoint Foundation 2013 avec ou sans SP1

Le bulletin de sécurité de Microsoft qui donne plus de détail sur cette vulnérabilité importante se trouve dans le Microsoft Security Bulletin MS14-050.

Solution pour Microsoft SharePoint Server

Microsoft recommande de lancer une mise à jour à travers le service Microsoft Update.

Microsoft recommande d’appliquer cette mise à jour dès que possible.

Problèmes éventuels pour Microsoft SharePoint Server

La mise corrige la façon dont SharePoint nettoie les applications.

Il est donc possible que certaines applications qui utilisent des actions personnalisées, peuvent cesser de fonctionner ou ne pas s’installer correctement après l’installation de cette mise à jour.

Par ailleurs, si vous envisagez de supprimer un application, vous devez accéder à l’application. Ensuite, vous devrez exporter les données de l’application avant de la supprimer.

Rappel : une bibliothèque ou une liste est une application au sens de Microsoft SharePoint Server.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *