Live-Update >=2: Suhosin verhindert Aktualisierung

**arnoldB** · 31.07.2012, 11:47

Hallo,

bei einem Update auf die aktuelle Version 2.11.5 trat ein Fehler auf. Nach der Bestätigung der zu aktualisierenden Live-Update Dateien (contao/update.phar.php und system/runonce.php, Live-Update 2) wird eine vollständig weiße Seite angezeigt.

Grund:
Der PHP-Sicherheitspatch Suhosin blockiert standardmäßig PHP include()-Aufrufe wie den folgenden:

Code:

phar:///var/customers/webs/user/contao/update.phar.php/index.php

Bemerkbar macht sich dies für Systemadministration die Lese-Zugriff des betriebssystemseigenen Syslogs (o.a.) haben:

Code:

Jul 31 12:22:16 host suhosin[13652]: ALERT - Include filename ('phar:///var/customers/webs/user/contao/update.phar.php/index.php') is an URL that is not allowed (attacker '129.13.72.198', file '/var/customers/webs/user/contao/update.phar.php', line 3)

Lösung:
Konfiguration von Suhosin (bspw. /etc/php5/cgi/conf.d/suhosin.ini): Direktive suhosin.executor.include.whitelist wie folgt setzen:

Code:

suhosin.executor.include.whitelist = phar

Sofern ein Zugriff auf diese Konfigurationsdatei nicht besteht, ist der zuständige ISP für diese Aktion zu bemühen.

Die aktuelle Suhosin-Konfiguration lässt sich mit der phpinfo() auslesen. Siehe Bildschirmfoto-1.png.

***leo*** · 31.07.2012, 12:53

Siehe dazu https://www.contao-community.de/show...l=1#post213564 und http://silex.sensiolabs.org/doc/phar...-configuration. In dem genannten Forum-Thread sind noch ein paar andere potentielle Fehlerquellen genannt (siehe u.a. meine Beiträge weiter unten).

Sobald wir eine definitive Liste haben, können wir diese noch mal an zentraler Stelle publizieren.

**Viktor** · 05.08.2012, 21:40

Hallo,

Danke für die Info denn genau deshalb ging das Update bei mir nicht.

Suhosin.ini geändert und schon klappt bei mir alles.

Gruß
Viktor

**BEEware** · 10.08.2012, 10:06

Danke, auch bei mir konnte das Problem der leeren Seite mit dem Whitelist-Eintrag in der Suhosin-Konfiguration gelöst werden.

Flie... · 21.08.2012, 16:38

Kann ebenfalls die Lösung mit der Whitelist bestätigen....

**Justus83** · 03.09.2014, 15:14

Bei mir hat es nicht funktioniert. Fehlermeldung "405 Not Allowed"

**Fieda Fimmel** · 01.02.2016, 15:08

Hallo,

ich wollte eine Contao Version von 3.2.19 auf 3.5.6 mit dem Contao Live Update updaten. Es kommt immer die Fehlermeldung "Seite nicht gefunden".
Ich habe schon das Contao Check ausgeführt, da fehlen keine Datein. Das der Server keine phar Datein ausführt, kann ich mir auch nicht vorstellen, da ich noch vier weitere Seiten auf dem Server habe (1und1) und alle anderen Live Updates funktionieren problemlos. Kann es an der suhosin Datei liegen?

Liebe Grüße
Nicola