Page 1 of 1
Warum wurde followsymlinks umgestellt?
Posted: Mon 11. Jul 2022, 11:13
by bernhard
Hallo an alle,
habt ihr genauere Infos, warum followsymlinks auf ownermatch umgestellt wurde? Bei mir hat alles problemlos geklappt (außer dass ich mich laufend beim Deployment von Projekten über einen 500er wundere, weil ich wieder die alte htaccess hochgeladen habe...
). Der Grund meiner Frage ist, dass mein CMS in der htaccess standardmäßig followsymlinks ohne ownermatch verwendet.
Jetzt frage ich mich, ob ich bei dem Entwickler darum bitten soll, das auf followsymlinksifownermatch zu ändern. Dafür hätte ich aber gerne Argumente
Danke schön!
PS: Ich habe via google gerade zufällig
https://keyhelp-panel.ru/ gefunden --> ist euch diese Seite bekannt?
Re: Warum wurde followsymlinks umgestellt? [GELÖST]
Posted: Mon 11. Jul 2022, 11:40
by l_fish
Das liegt an einer Sicherheitslücke mit FollowSymlinks, die mit der Umstellung (zumindest teilweise) eingedämmt wird.
Schau dir mal diesen Thread an, da wurde das Thema inkl. Einführung der Umstellung diskutiert:
viewtopic.php?t=11436
Re: Warum wurde followsymlinks umgestellt?
Posted: Mon 11. Jul 2022, 12:33
by bernhard
Danke, der thread hat geholfen und ich verstehe das Problem jetzt
Hier noch ein Link, der das Thema gut zusammenfasst:
https://blog.hboeck.de/archives/873-The ... pache.html
Re: Warum wurde followsymlinks umgestellt?
Posted: Mon 11. Jul 2022, 12:46
by bernhard
Ich wusste doch, ich hab irgendwo darüber gelesen, aber google hat mir dann keine Ergebnisse geliefert, deshalb hab ich im Forum gefragt...
KeyHelp was updated to version 22.0.1.
Wednesday, June 8, 2022 - 03:20:55
Please note:
This update contains an important security improvement for the Apache web server and its behavior when calling symlinks.
All necessary configurations have been updated as part of this update, you do not need to take care of it yourself.
In the future, the directive 'Options +FollowSymLinks' is no longer allowed in .htaccess files and leads to errors. Instead, the 'Options +SymLinksIfOwnerMatch' directive should be used.
If you absolutely require 'FollowSymLinks', you can set the 'AllowOverride All' option in the domain settings under the Apache Settings tab.
Note, that you should not activate this option carelessly and only for user accounts that you absolutely trust.
To close the vulnerability it was necessary to update existing .htaccess files with problematic directives in the home directories of the user accounts.
Backups of affected files have been stored in the same directory under .htaccess.before-follow-sym-links-change.
The following files have been updated.
@keyhelp
Könntet ihr diese Beschreibung im changelog verlinken? Das ist das erste, was man findet, wenn man keyhelp followsymlinks googled:
https://www.keyhelp.de/changelog/
Außerdem glaube ich, dass die Erklärung im Panel Dashboard verschwindet, wenn ich einmal auf das X geklickt habe und dann weiß ich sicher nicht mehr, wie ich es doch aktivieren kann, wenn ich es wirklich mal brauchen sollte
Ok... jetzt hab ich es zumindest hier im thread konserviert
Danke!
Re: Warum wurde followsymlinks umgestellt?
Posted: Tue 12. Jul 2022, 14:14
by MLan
bernhard wrote: ↑Mon 11. Jul 2022, 12:46
Außerdem glaube ich, dass die Erklärung im Panel Dashboard verschwindet, wenn ich einmal auf das X geklickt habe und dann weiß ich sicher nicht mehr, wie ich es doch aktivieren kann, wenn ich es wirklich mal brauchen sollte
Ok... jetzt hab ich es zumindest hier im thread konserviert
Danke!
Ich habe mir das zusammen mit
Code: Select all
grep -nrw --include .htaccess /home/users/ -e 'FollowSymLinks'
im Dashboard unter Notizen hinterlegt.
Wäre ja auch für dich eine Lösung
Re: Warum wurde followsymlinks umgestellt?
Posted: Tue 12. Jul 2022, 15:33
by bernhard
Danke für den reminder!! Ich vergess das Feld immer