WICHTIG: LiveConfig v2.7.4 (Sicherheitsupdate)

  • Unser liveconfig ist nun upgedatet. Leider habe ich noch eine Drupal 6 Webseite laufen, und da funktioniert die Lösung nicht. Es werden die Bilder nicht angelegt, obwohl nicht vorhandene Dateien an die index.php weitergeleitet werden. Da es mir nicht möglich ist, die Programmierung von Drupal nach zu vollziehen, habe ich folgende Lösung gefunden:
    in der sites/default/files/.htaccess wird mit einem filesmatch abgefragt, ob eine Scriptdatei aufgerufen wurde. Nur dann wird die rewriterule gestartet:



    <FilesMatch ".+\.(php[3457]?|pht|phtml|phps|pl|py|pyc|pyo|sh)$">
    RewriteEngine On
    RewriteRule .+\.(php[3457]?|pht|phtml|phps|pl|py|pyc|pyo|sh)$ - [F,L]
    </FilesMatch>


    Meine Tests sind positiv verlaufen, wenn ich eine php-Datei in das files-Verzeichnis gelegt habe, wurde diese blockiert. Wenn andere Dateien aufgerufen werden, so kommt die Regel nicht zu Anwendung, und die Rewriterule aus der htaccess-Datei im Root-Verzeichnis greift.
    Ist die Lösung Ihrer Meinung nach valide?
    Danke :)
    Wolfgang

  • Hallo Herr Keppler,
    seit zwei bis drei Wochen gibt es eine #5244 als Preview, aber keine Ankündigung dazu.
    Was verbirgt sich denn hinter der Version?


    Die SOAP-Funktionen HostingSubscriptionEdit und HostingSubscriptionGet akzeptieren bzw. liefern mit diesem Update noch einen Parameter "phpini", um somit php.ini-Einstellungen via API bearbeiten zu können. Das Ganze ist noch nicht ausführlich getestet, wurde aber für einen Sonderfall in einem größeren Rollout kurzfristig benötigt. Die Änderungen werden in den nächsten Tagen noch dokumentiert und getestet, dann wird das in v2.8 "offiziell" enthalten sein. Weitere Änderungen enthält diese Version nicht.

  • Mit LiveConfig v2.8.0 haben wir eine andere Lösung zur Vermeidung der zugrundeliegenden Sicherheitsprobleme implementiert.
    SetHandler und "AllowOverride FileInfo" sind mit LiveConfig v2.8 also wieder problemlos (und risikolos) möglich.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!