Innerhalb unseres wöchentlichen Wartungsfensters, am Donnerstag den 28. Februar 2019, erhalten unsere LiveConfig-Installationen ein Sicherheitsupdate auf die Version v2.7.4 .
Dieses Update bringt zwei wichtige Änderungen mit sich, wobei eine davon bei uns bereits Anwendung finden.
Einige CMS-Systeme, wie z.B. Drupal oder Neos, verwenden in der .htaccess die Option „FollowSymLinks“ und/oder die Anweisung „SetHandler“.
- “FollowSymLinks” kann auf unserem Systemen bereits seit langem nicht mehr verwendet werden. Stattdessen wird auf “SymlinksIfOwnermatch” gesetzt, welches Attacken über Symlinks gegen andere Kunden blockiert.
- “SetHandler” kann nun nach diesem Update nicht mehr verwendet werden.
Die .htaccess-Dateien betroffener Installationen werden von uns mit einem Patch versehen, um die weitere Funktionalität zu gewährleisten
Um Fehlfunktionen zu vermeiden, achten Sie bitte darauf, dass im Falle einer Neuinstallation oder eines Updates Ihre .htaccess-Datei/en anpasst werden müssen.
Nähere Informationen hierzu erhalten Sie in unserem Wiki unter:
Durchführung von Wartungsarbeiten am 28. Februar 2019
- Was wird gemacht?
- Aktualisierung von LiveConfig auf Version 2.7.4
- Wann wird gearbeitet?
- 2019-02-28 ab 21:30 Uhr
- Wer ist betroffen:
- Alle Systeme mit LiveConfig
- Was bedeutet das für mich?
- Durch das Update von LiveConfig wird eine Sicherheitslücke geschlossen
- Nach dem Update steht die Konfigurationsanweisung „SetHandler“ nicht mehr zur Verfügung. Die Verwendung erzeugt einen Internal Server Error mit entsprechendem Hinweis im Error-Log des Webservers.
- Dies betrifft insbesondere Drupal und NEOS.
- Wir werden die notwendigen Änderungen im Zuge des Updates durchführen, so dass anschließend lediglich Neuinstallationen Fehler erzeugen werden.
- Bitte leiten Sie diese Information auch an Ihren technischen Dienstleister/Ihre Agentur weiter, falls Sie diese beauftragen!
- Wie erhalte ich weitere Informationen?
- In unserem Wiki:
