Hallo,
bei einem Update auf die aktuelle Version 2.11.5 trat ein Fehler auf. Nach der Bestätigung der zu aktualisierenden Live-Update Dateien (contao/update.phar.php und system/runonce.php, Live-Update 2) wird eine vollständig weiße Seite angezeigt.
Grund:
Der PHP-Sicherheitspatch Suhosin blockiert standardmäßig PHP include()-Aufrufe wie den folgenden:
Code:
phar:///var/customers/webs/user/contao/update.phar.php/index.php
Bemerkbar macht sich dies für Systemadministration die Lese-Zugriff des betriebssystemseigenen Syslogs (o.a.) haben:
Code:
Jul 31 12:22:16 host suhosin[13652]: ALERT - Include filename ('phar:///var/customers/webs/user/contao/update.phar.php/index.php') is an URL that is not allowed (attacker '129.13.72.198', file '/var/customers/webs/user/contao/update.phar.php', line 3)
Lösung:
Konfiguration von Suhosin (bspw. /etc/php5/cgi/conf.d/suhosin.ini): Direktive suhosin.executor.include.whitelist wie folgt setzen:
Code:
suhosin.executor.include.whitelist = phar
Sofern ein Zugriff auf diese Konfigurationsdatei nicht besteht, ist der zuständige ISP für diese Aktion zu bemühen.
Die aktuelle Suhosin-Konfiguration lässt sich mit der phpinfo() auslesen. Siehe Bildschirmfoto-1.png.
Lesezeichen