Contao Manager: Zend OPcache API is restricted by ... weg. fehlerhafte Bibliothek?

**dtptiger** · 05.03.2018, 11:04

Hallo,

beim Anwendungs-Cache neu erstellen mit dem Contao Manager/Systemwartung wurde diese Fehlermeldung ausgegeben:

Code:

PHP Warning: Zend OPcache API is restricted by "restrict_api" configuration directive in /var/customers/webs/vonflatow/hundetherapie.vonflatow.de/vendor/madeyourday/contao-rocksolid-custom-elements/src/CustomElements.php on line 1336

Ich habe meinen Provider gebeten sich darum zu kümmern, und bekam die Antwort das verwendete Contao 4.4.14 eine fehlerhafte Bibliothek verwendet:

Allerdings benutzt dein CMS eine fehlerhafte Bibliothek die nur prüft ob opcache.restrict_api überhaupt gesetzt ist nicht auf welchen Wert und bricht ab obwohl es eigentlich laufen würde und Zugriff auf die API hat.

Stimmt das?

LG
dtptiger

**RockSolid Themes** · 05.03.2018, 14:16

Zu diesem Thema gibt es bereits ein Ticket auf GitHub: https://github.com/contao/core/pull/8335

**dtptiger** · 05.03.2018, 23:16

Seit 2016 ...

kannitverstan

**tab** · 06.03.2018, 00:18

Hmm, der Pull Request wurde damals aber nicht nur bei Contao abgelehnt, sondern auch der entsprechende bei Rocksolid. Wird also schon seine Gründe haben.

**dtptiger** · 06.03.2018, 23:18

Ich würde meinem Provider gerne eine sinnvollere Antwort als

Wird also schon seine Gründe haben.

auf sein Behauptung "Contao verwendet eine fehlerhafte Bibliothek" geben.

Der behauptet nämlich das das auskommentieren aus der PHP Config

Code:

opcache.restrict_api = "{DOCUMENT_ROOT}"

ein Sicherheitsrisiko wäre, zwar klein aber eben doch.
Und wenn das so wäre, da wäre das einfach nicht besonders schön.

**tab** · 07.03.2018, 00:00

Dann bring ihn doch mit Leo Feyer oder Martin Auswöger zusammen, dann reden die miteinander, die offensichtlich unterschiedlicher Meinung sind.
Edit: Jedenfalls scheinen beide der Meinung zu sein, dass die im Pull-Request vorgeschlagene Lösung keine gute Lösung ist. Wenn dein Hoster eine bessere Lösung vorschlagen kann, dann könnte diese integriert werden und es wäre allen geholfen.

**RockSolid Themes** · 07.03.2018, 12:28

Zitat von dtptiger

Der behauptet nämlich das das auskommentieren aus der PHP Config

Code:

opcache.restrict_api = "{DOCUMENT_ROOT}"

ein Sicherheitsrisiko wäre, zwar klein aber eben doch.

Damit hat der Provider höchstwahrscheinlich recht, die Entfernung der Konfiguration kann bzw. soll nicht die Lösung sein.

Das Problem liegt vermutlich eher daran, dass die Option opcache.restrict_api falsch konfiguriert ist. Aktuell ist sie anscheinend auf /var/customers/webs/vonflatow/hundetherapie.vonflatow.de/web/ gesetzt sollte aber auf /var/customers/webs/vonflatow/hundetherapie.vonflatow.de/ oder /var/customers/webs/vonflatow/ gesetzt sein.

**tab** · 07.03.2018, 13:07

Das dürfte wohl so gemacht sein, weil /var/customers/webs/vonflatow/hundetherapie.vonflatow.de/web/ die document root der Domain ist. Das wäre für mich auch durchaus nachvollziehbar. Wieso sollte der Hoster eine Ebene höher eintragen ohne zu wissen, dass dieses Verzeichnis zu der entsprechenden Installation gehört? Ebenfalls nachvollziehbar, dass man nicht /var/customers/webs/vonflatow/ setzt. Darunter könnten ja mehrere Websites am Laufen sein und eventuell möchte man ja nicht, dass die eine Website der Anderen den OPCache unterm Hintern weglöscht.

**RockSolid Themes** · 07.03.2018, 16:04

Wenn mehrere Websites untereinander Dateien schreiben/löschen/verändern können, ist der Zugriff auf den OPCache nicht mehr sicherheitsrelevant. D.h. die opcache.restrict_api-Option sollte von anderen Webspaces so abgegrenzt werden wie auch die Dateiberechtigungen des PHP-Prozesses.

Wenn also der PHP-Prozess auf alle Dateien unter /var/customers/webs/vonflatow/ Schreibzugriff hat, sollte auch opcache.restrict_api auf diesen Pfad gesetzt werden.

Unabhängig davon lässt sich dieses Problem in Contao selbst nicht beheben. Die Warnung ist ja korrekt, da die Konfiguration des Webspace nicht erlaub den OPcache zu löschen. Zudem handelt es sich „nur“ um eine Warnung, nicht um einen Fehler.

**Marion** · 16.10.2018, 16:58

Zitat von RockSolid Themes

Zudem handelt es sich „nur“ um eine Warnung, nicht um einen Fehler.

Allerdings ist es eine Warnung, die im Contao 3.5.x seit 3.5.36 dazu führt, dass das automatische Update nicht mehr funktioniert. Ich konnte das temporär folgendermassen lösen:

Auskommentieren der Zeile "opcache_invalidate(TL_ROOT . '/system/config/localconfig.php', true);" in system/modules/core/library/Contao/Config.php
Deaktivieren des OPCaches durch den Provider

Das File mit der auskommentierten Zeile wird beim Update sofort wieder mit dem Original überschrieben. Die Lösung ist also nicht änderungssicher. Hat jemand eine Idee, wie ich einen änderungssicheren Override der Config.php machen kann?

**Marion** · 21.12.2018, 12:48

Irgendetwas ist in der Zwischenzeit gelaufen. Ich erhalte zwar weiterhin die Warnung, aber das automatische Update lässt sich trotzdem durchführen. Damit kann ich leben.