[Gelöst] Sicherheitsfrage zur Datei system/.htaccess

**jgrotstabel** · 27.02.2015, 16:17

Hallo zusammen,

wir haben heute bei uns ein größeres Problem mit einer Contao Website gehabt in der einige Erweiterungen nicht funktioniert haben.
Wir konnten die Fehler in den Griff bekommen in dem wir die Einstellungen der Datei system/.htaccess auskommentiert haben.

So sieht es jetzt aus:

Code:

<IfModule !mod_authz_core.c>
#  Order deny,allow
#  Deny from all
</IfModule>
<IfModule mod_authz_core.c>
#  Require all denied
</IfModule>

Was bedeutet das jetzt für die Installation, ist diese jetzt stark angreifbar oder sowas?
Bzw. können wir das Problem anders in den Griff bekommen?

Auslöser für den Fehler war wahrscheinlich ein Serverupdate von Apache 2.2 auf Apache 2.4.

Danke und viele Grüße
Jens

**tab** · 27.02.2015, 16:27

Du musst die Direktiven in deinen .htaccess Dateien anpassen? Ist das noch eine alte Version? Zumindest von der .htaccess her wohl schon.
Siehe auch diesen Thread.

**BugBuster** · 27.02.2015, 20:00

Dann hast du eine Erweiterung mit einer alten htaccess. Die solltest du anpassen, nicht die korrekte im system/ Verzeichnis.
Hier mal ein Link für beide Varianten, erlauben und verbieten.
https://gist.github.com/BugBuster1701/5216541

**jgrotstabel** · 02.03.2015, 11:41

Hallo zusammen,

erstmal danke für Eure Mails.
Es ist betrifft zwei unserer Systeme.

Einmal Contao 3.4.4 mit installiertem Modul [galerie]. Dieses macht die Probleme. Es wird im Frontend seit dem Apache Update nicht mehr korrekt ausgeführt.
Das andere ist eine Contao 3.1.5-cca.soa.soa-hardening.xss2.dt installation und das Problem ist auch beim Modul [galerie].

Das bedeutet also das die htaccess der Erweiterung [galerie] Fehlerhaft sein müsste?
Also ich habe die .htaccess dieses Moduls im Ordner (html) von

Code:

order deny,allow
allow from all

auf

Code:

<IfModule !mod_authz_core.c>
  Order allow,deny
  Allow from all
</IfModule>
<IfModule mod_authz_core.c>
  Require all granted
</IfModule>

Jetzt funktioniert es auch wenn ich die .htaccess des Ordners system wieder im original Zustand lasse. Also sollte ich dem Entwicker von [galerie] schreiben, dass er diese Datei anpassen sollte?

Vielen liebe Dank und beste Grüße
Jens

**BugBuster** · 02.03.2015, 11:43

Ja, genau so.

**Spooky** · 02.03.2015, 12:09

Welche Version von [galerie] benutzt du? Die aktuellste Version sollte die richtige Anweisung in der .htaccess stehen haben.

**jgrotstabel** · 02.03.2015, 12:43

Hey Spooky,

das ist korrekt. Habe gerade nachgeschaut, es ist die Version 1.9.0. Weil das System eben auf Contao 3.1.5 läuft.
Leider gibt ein anderes Modul ein Update auf die Contao 3.2 LTS Version nicht her.

Danke noch mal für Eure Hilfe. Es läuft jetzt alles stabil und ohne Probleme.