Beiträge von kk

Hallo,

unsere PHP-Pakete für Debian/Ubuntu wurden eben auf die Versionen 7.1.27, 7.2.16 und 7.3.3 aktualisiert.

Viele Grüße

-Klaus Keppler

Hallo liebe LiveConfig-Anwenderinnen und -Anwender!

Am Mittwoch, dem 27. März werden wir im Rahmen des CloudFests die Version 2.8 von LiveConfig offiziell präsentieren.
Wie bereits angekündigt hat sich u.a. im Bereich der SSL-Verwaltung viel getan. So haben wir mit einem der größten Anbieter von SSL-Zertifikaten in Deutschland, der CertCenter AG, eine komplett automatisierte Bestellabwicklung von OV/EV-Zertifikaten integriert - inklusive SSL-Upselling und dem kostenlosen "AlwaysOnSSL".

Zusammen mit der CertCenter AG laden wir daher zu einem speziellen Launch-Event ein, an dem wir die neue SSL-Verwaltung vorstellen werden.
Im Anschluss an eine kurze Präsentation werden wir gemeinsam das wunderschöne Straßburg per Schiff erkunden. Sie haben dabei die Möglichkeit, sich mit dem LiveConfig-Team, den Spezialisten von CertCenter und den anderen Teilnehmern in entspannter Atmosphäre auszutauschen und Straßburg bei Nacht zu erleben. Auch Vertreter von CAs stehen Ihnen an dem Abend für alle Fragen rund um SSL-Produkte zur Verfügung.
Kulinarische Spezialitäten aus dem Elsass sorgen für das leibliche Wohl - auch mal außerhalb des Europaparks.
Es sind noch Restplätze für diese Veranstaltung verfügbar, die nach "first come, first serve" vergeben werden. Zur Anmeldung registrieren Sie sich bitte unter https://launch.liveconfig.com

Zeitplan:

• 16:30 Vorstellung und offizieller "Launch" (Hotel "Bell Rock", Konferenzraum "Harvard")
• 17:00 Abfahrt mit dem Reisebus am Hotel "Bell Rock"
• 17:45 Ankunft in Straßburg
• 18:00 Ablegen des Schiffs, Flying Buffet, Getränke
• ca. 21:00 Rückfahrt zum Europapark

Bei Fragen stehen wir Ihnen unter launch@liveconfig.com zur Verfügung.

Viele Grüße

-Klaus Keppler

Datenschutzhinweis: die bei der Anmeldung bzw. Kontaktaufnahme erfassten Daten werden von der Keppler IT GmbH und der CertCenter AG zum alleinigen Zweck dieser Veranstaltung gespeichert und anschließend gelöscht. Es erfolgt keine Weitergabe an Dritte.

Zitat von TCRserver

Hallo Herr Keppler,
seit zwei bis drei Wochen gibt es eine #5244 als Preview, aber keine Ankündigung dazu.
Was verbirgt sich denn hinter der Version?

Die SOAP-Funktionen HostingSubscriptionEdit und HostingSubscriptionGet akzeptieren bzw. liefern mit diesem Update noch einen Parameter "phpini", um somit php.ini-Einstellungen via API bearbeiten zu können. Das Ganze ist noch nicht ausführlich getestet, wurde aber für einen Sonderfall in einem größeren Rollout kurzfristig benötigt. Die Änderungen werden in den nächsten Tagen noch dokumentiert und getestet, dann wird das in v2.8 "offiziell" enthalten sein. Weitere Änderungen enthält diese Version nicht.

Zitat von WolfgangS

<FilesMatch ".+\.(php[3457]?|pht|phtml|phps|pl|py|pyc|pyo|sh)$">
RewriteEngine On
RewriteRule .+\.(php[3457]?|pht|phtml|phps|pl|py|pyc|pyo|sh)$ - [F,L]
</FilesMatch>

Schaut plausibel aus. Zumal wenn Ihre Tests positiv verlaufen sind, wüsste ich nicht was dagegen sprechen sollte.

Zitat von Citytow

Code

<info@xxxxx.de>: Recipient address rejected: Domain disabled (in reply to
    RCPT TO command)

Wie die Meldung schon sagt: die Domain ist deaktiviert. Soweit ich weiß müsste diese Meldung nur dann erscheinen, wenn im LiveConfig beim betroffenen Vertrag E-Mail deaktiviert wurde.
(also mal auf "Vertrag bearbeiten" klicken und schauen, was bei "Status" eingestellt ist (aktiv/gesperrt/deaktiviert).

Viele Grüße

-Klaus Keppler

Also, Drupal trickst da ganz schön mittels .htaccess herum.
Vereinfacht gesagt: in der .htaccess-Datei im Hauptverzeichnis wird eine RewriteRule gesetzt, welche Zugriffe auf nicht vorhandene Dateien pauschal durch index.php routet. Die Rewrite-Anweisungen in sites/default/files/.htaccess setzen alle anderen RewriteRules zurück - daher kommt es zu einem "403".

Die Lösung ist also, das Routing nicht vorhandener Dateien auf die /index.php auch in die untergeordnete .htaccess aufzunehmen:

RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^ /index.php [L]

Damit werden die Thumbnails wieder korrekt beim ersten Aufruf erzeugt. Wir werden das in unsere Doku mit aufnehmen.
Bei CloudFest werden wir uns zudem mal direkt mit den Drupal-Leuten über die Problematik unterhalten.

Hallo,

anhand einer NGINX-Konfiguration für Drupal vermute ich, dass das am URL-Rewriting liegt: gedacht ist das so, dass wenn ein Zugriff auf den Image-Cache erfolgt und die Zieldatei aber (noch) nicht existiert, dass der Aufruf dann über die index.php geroutet werden soll (damit Drupal das gewünschte Bild dynamisch erzeugt).
Die aktuelle RewriteRule sollte das aber eigentlich auch gar nicht verbieten...
Wir werden mal versuchen, das mit einer Drupal-Testinstallation zu reproduzieren. Details folgen dann in Kürze...

Viele Grüße

-Klaus Keppler

Zitat von WolfgangS

Leider hat der eine sehr negative Auswirkung:
Durch den Flag [F] werden alle Scripten abgebrochen, die auf den Files-Folder zugreifen. Viele Bild-Uploads, die in Drupal durchgeführt werden, legen automatisch von den hochgeladenen Bildern Styles an:
So werden z.B. automatisch Bilder als Thumbnails in 150 x 150 Pixel erstellt [...]

Die o.g. RewriteRule sollte nur dann Zugriffe verbieten, wenn die abzurufende Datei direkt eine der aufgeführten Endungen (.php/.pl/.sh/usw) hat.
Eine .jpg-Datei, die sich in dem Verzeichnis befindet, müsste problemlos abrufbar sein.

Legen Sie testweise mal in sites/default/files/ eine Datei namens "test.txt" mit irgendeinem Inhalt an, und versuchen Sie anschließend, diese über den Browser aufzurufen.
Welche Fehlermeldung exakt bekommen Sie? (403 forbidden oder 500 internal server error?)

Zitat

Habt Ihr andere Vorschläge, wie man die Sicherheitslücke stopfen kann?
Danke und Viele Grüße
Wolfgang

Das Hauptproblem ist Drupal selbst, da es aktiv in die Serverkonfiguration eingreifen möchte. Dieser Ansatz ist gut gemeint, aber leider nicht zu Ende gedacht (z.B. sind NGINX .htaccess-Dateien völlig schnuppe).
Wenn Sie einen komplett eigenen Server betreiben (also quasi nur einen einzigen Webspace-Vertrag auf dem Server angelegt haben), dann könnte man SetHandler dort erlauben (die Lücke wäre dann quasi wieder offen, könnte aber nicht aktiv durch "fremde" Kunden ausgenutzt werden).

Ich vermute auf den ersten Blick, das irgendwas mit der RewriteRule oder der restlichen .htaccess-Datei nicht stimmt und deshalb der Zugriff auf die temporären Dateien nicht funktioniert - da gibt es also wahrscheinlich eine recht einfache Lösung.

Viele Grüße

-Klaus Keppler

Zitat von antondollmaier

Kurze Rückfrage: Aktuell ist ja 2.7.4-r5214 - ist dort der Commit r5157 (vgl https://www.liveconfig.com/de/…6889&viewfull=1#post16889) schon drin enthalten?

Nein, leider nicht - die 2.7.4 ist ein reines Sicherheits-Update und enthält diese Funktion daher noch nicht.

Guten Morgen,

Zitat von weltmeister

Hat jemand eine kurze und knappe Anleitung parat?

apt install php-fpm

Also im Prinzip nur die PHP-FPM-Pakete nach installieren. Die PHP-Pakete von LiveConfig enthalten jeweils bereits die FPM-Variante. Mit "liveconfig --diag" können Sie sich alle PHP-Versionen ausgeben lassen, da wird dann auch jeweils angezeigt ob diese FPM unterstützt.

Zitat

Mit der Umstellung auf "FPM" in den Angeboten allein ist es ja nicht getan. Es kursieren im Internet teilweise verschiedene Anleitungen, die untereinader variieren.

Was LiveConfig betrifft, genügt es normalerweise tatsächlich, die Angebote bzw. Verträge auf FPM umzustellen. Erweiterungen spielen keine Rolle (ob Extensions für CGI oder FPM installiert wurde ist egal, die liegen alle in den selben Verzeichnissen).

Wichtig ist vor allem, dass Sie FPM nur mit LiveConfig ab v2.7.4 nutzen (nur dann ist die Konfiguration sicher).

Zitat von seb1983

Da ich PHP7.2 laufen habe gibt es ja zum Glück kein mysql_connect mehr sondern mysqli, warum ist denn die Applikation so brutal alt?

Das ist leider die Gratwanderung...
LiveConfig unterstützt ja alle großen Distributionen auch in der LTS-Version - konkrekt z.B. CentOS 6 (PHP 5.3!) oder Ubuntu 14 (PHP 5.5). Da ist eben standardmäßig kein aktuelles PHP verfügbar.
Wir haben aber bereits auf der Roadmap, den Installer grundlegend zu überarbeiten, so dass je nach verfügbarer PHP-Version entsprechend aktuellere App-Versionen installiert werden können (damit legen wir voraussichtlich ab April/Mai los).

Zitat

Kann ich die irgendwo selber einspielen oder werden die extern bezogen?

Contao wird heutzutage meistens über den "Contao Manager" per Shell installiert (mit "composer"). Achten Sie ggf. darauf, das opcache-Modul zu deaktivieren oder die php.ini-Option "opcache.file_cache_only=On" zu setzen - siehe Contao-Manager Issue #347.

Für alle CMS-Entwickler die hier eines Tages mal mitlesen: es ist BAD PRACTICE, mittels .htaccess in die Serverkonfiguration einzugreifen. Der Schutz via SetHandler ist nett gemeint, verpufft aber sobald man z.B. NGINX einsetzt. Letztendlich wird zudem nur am Symptom herumgepfuscht (Ausführung von Dateien, die irgendwie im Webspace gelandet sind) als die eigentliche Ursache zu vermeiden (durch eine anständige Architektur, z.B. Speicherung reiner Nutzdaten außerhalb des Webspace-Roots).

Zitat von antondollmaier

Achtung: NEOS ist auch betroffen, dort wird der SetHandler auch verwendet

Danke für den Hinweis, wir werden das mit in die Doku aufnehmen.

Hmm, der Befehl FcgidWrapper ist ärgerlicherweise bei Apache nicht in den FileInfo-Overrides dokumentiert, sonst hätten wir den mit aufgenommen.

Am einfachsten dürfte es sein, wenn Sie die Datei /usr/lib/liveconfig/lua/apache.lua bearbeiten und in Zeile 135 den Befehl "SubstituteMaxLineLength" durch "FcgidWrapper" ersetzen (*). Danach müssten Sie LiveConfig neu starten und den betroffenen Vertrag neu speichern (damit die vHost-Konfiguration aktualisiert wird).
Wir werden FcgidWrapper beim nächsten Update auch mit in diese Liste aufnehmen (die Änderung ist daher quasi "updatesicher").
Sicherheitstechnisch spricht aktuell nichts gegen FcgidWrapper, da hier die "normalen" suexec-Schutzmechanismen greifen.

Viele Grüße

-Klaus Keppler

*) es hilft NICHT, die Anweisung "FcgidWrapper" einfach an die Liste anzufügen - nein, dafür muss leider ein anderer Eintrag dran glauben. Es gibt vermutlich einen Bug in Apache, welcher die maximale Länge der Zeile "AllowOverrideList" implizit begrenzt (laut Doku kann eine einzelne Config-Zeile max. 16MB groß sein, in der Praxis wird sie aber irgendwo klammheimlich (ohne Log-Meldung) abgeschnitten. Mehr als das, was LiveConfig aktuell rausschreibt, ist offenbar nicht drin.

Zitat von RB-Media-Group

auf dem Testserver ist und war bereits 2.7.4 r5214 installiert. Wir werden es weiterhin beobachten.

Dann war aber trotzdem irgendeine frühere Testversion aus dem Repo (r5210 oder r5212) mal installiert, sonst wäre das o.g. Problem nicht aufgetreten.

Zitat von RB-Media-Group

Es werden nun nicht nur SET HANDLER bemängelt, sondern auch:

AddDefaultCharSet
FileETag

Dann haben Sie eine frühere LiveConfig-Version aus dem Test-Repo installiert (vermutlich v2.7.4 <r5214).

Das Test-Repository kann immer wieder mal instabile Versionen enthalten, wir raten daher DRINGEND davon ab, dieses Repository für die "regulären" Server zu nutzen.

In diesem Fall müssen Sie folgenden SQL-Befehl in der LiveConfig-Datenbank ausführen:

UPDATE LIVECONFIG SET LC_VALUE='0005102' WHERE LC_KEY='dbschema' AND LC_VALUE = '0005103';

Installieren Sie anschließend die aktuelle Version (2.7.4-r5214).

Viele Grüße

-Klaus Keppler

[UPDATE 20.08.2019]
Mit LiveConfig v2.8.0 haben wir eine andere Lösung zur Vermeidung der zugrundeliegenden Sicherheitsprobleme implementiert.
SetHandler und "AllowOverride FileInfo" sind mit LiveConfig v2.8 also wieder problemlos (und risikolos) möglich.
[ENDE]

Hallo,

kürzlich hat uns ein Kunde auf ein mögliches Sicherheitsrisiko in der Apache-Konfiguration aufmerksam gemacht. Nach kurzer Prüfung konnten wir das Problem bestätigen und haben seitdem einen entsprechenden Patch erarbeitet.
Das Problem ist, dass es sich hier um keinen klassischen "Bug" handelt, sondern Apache in einem bestimmten Zusammenhang schlicht keine Sicherheitsprüfung vornimmt. Bevor wir die Details näher beschreiben möchten wir aber allen Kunden noch genügend Zeit geben, um das Update zu installieren.

Besonders auf Servern, auf denen PHP-FPM läuft, sollte dieses Update möglichst zeitnah eingespielt werden.
Es besteht kein Risiko "von außen". Ein möglicher Angriff müsste lokal erfolgen und setzt einige Kenntnisse über die jeweilige Serverkonfiguration voraus - wir schätzen die Sache also nicht als hochkritisch, aber dennoch ernst ein.
Weniger kritisch ist das Thema bei Servern, bei denen PHP-FPM nicht aktiviert ist oder nicht genutzt wird - aber auch hier empfehlen wir das Update bei Gelegenheit durchzuführen. Reine NGINX-Webserver sind nicht betroffen.

Das Update (v2.7.4) aktualisiert automatisch alle Apache-vHost-Konfigurationen wie folgt:

• die AllowOverride-Option "FileInfo" wird entfernt
• statt dessen werden die erlaubten Anweisungen in AllowOverrideList aufgeführt

Die Anweisung "SetHandler" ist damit ab sofort nicht mehr in .htaccess-Dateien erlaubt!

Jede "normale" Web-Anwendung benötigt keine SetHandler-Anweisung in .htaccess. Traurige Ausnahme ist Drupal: dort enthält u.a. /sites/default/.htaccess entsprechende SetHandler-Anweisungen, um die Ausführung von hochgeladenen Dateien zu verhindern (was ohnehin ein merkwürdiges Sicherheitskonzept ist, aber da hat Drupal noch ganz andere Probleme...).
Informationen zur .htaccess-Thematik bei Drupal haben wir (white-labeled) vorab hier bereitgestellt: https://hostinghandbuch.de/apps.drupal.htaccess
Am Ende dieser Seite ist auch ein Aufruf aus find und sed angegeben, mit dem man alle Drupal-.htaccess-Dateien auf einem Server rekursiv patchen kann (Ausführung auf eigene Gefahr!).

Bei Multi-Server-Umgebungen ist es egal, ob das Update zuerst auf dem Server oder auf den Clients installiert wird.

Wir empfehlen Ihnen folgendes Vorgehen:

• Installation des Updates auf allen Servern mit Apache
• Identifikation aller Kunden, die .htaccess-Dateien mit SetHandler-Anweisungen verwenden:
  
  
  Code

  find /var/www -type f -name .htaccess -exec grep -Hi "^\s*sethandler" {} \;

  
  

• Information der betroffenen Kunden, dass SetHandler nicht mehr genutzt werden darf
• ggf. automatisches Patchen der betroffenen .htaccess-Dateien
  
  
  • zuerst speziell für Drupal:
    
    
    Apache Configuration

    find /var/www -type f -name .htaccess -exec \
    sed -e 's/^\(\s*Options\s\+\)+FollowSymLinks/\1+SymLinksIfOwnerMatch/i' \
        -e 's/^\(\s*\)\(SetHandler Drupal_Security_Do_Not_Remove.*\)/\1# \!\!\! SetHandler disabled - see https:\/\/hostinghandbuch.de\/apps.drupal.htaccess\n\1#\2\n\1RewriteEngine On\n\1RewriteRule .+\\.(php[3457]?|pht|phtml|phps|pl|py|pyc|pyo|sh)$ - [F,L]/i' \
        -i {} \;

    
    

  
  
  

[LIST=|INDENT=2]
[*]dann für alle restlichen .htaccess-Dateien:

find /var/www -type f -name .htaccess -exec \
 sed -e 's/^\(\s*SetHandler\)/# \!\!\! SetHandler disabled - see https:\/\/hostinghandbuch.de\/apps.drupal.htaccess\n#\1/i' -i {} \;

[/LIST]

Bei Fragen stehen wir gerne zur Verfügung.

Viele Grüße

-Klaus Keppler

Hello,

our PHP packages for Debian/Ubuntu have been updated to version 7.2.15 and 7.3.2.

As FPM and OpCache have had (or still have?) some issues with PHP 7.3, we recommend to upgrade as soon as possible.

Best regards

-Klaus Keppler

Hallo,

unsere PHP-Pakete für Debian/Ubuntu wurden eben auf die Versionen 7.2.15 bzw. 7.3.2 aktualisiert.

Da insbesondere FPM und OpCache bei PHP 7.3 noch einige Stabilitätsprobleme hatten (haben?), empfehlen wir, das Update zeitnah durchzuführen.

Viele Grüße

-Klaus Keppler

Starten Sie bitte mal LiveConfig (bzw. falls Multi-Server: nur den lcclient) auf dem betroffenen Server neu, und prüfen dann nach ca. 15-20 Minuten, ob dann Daten erscheinen.

Machen Sie zudem eine Kopie von /var/lib/liveconfig/smtp.stats und prüfen ebenfalls nach ca. 15 Minuten mal per "diff", ob sich in der Datei etwas geändert hat.

(diese beiden Ansätze helfen dabei, die mögliche Ursache weiter einzugrenzen)