Startseite » Forum » LiveConfig-Foren (deutsch) » Ankündigungen & neue Versionen » WICHTIG: LiveConfig v2.7.4 (Sicherheitsupdate)
Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 24
  1. #1
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.258

    Ausrufezeichen WICHTIG: LiveConfig v2.7.4 (Sicherheitsupdate)

    [UPDATE 20.08.2019]
    Mit LiveConfig v2.8.0 haben wir eine andere Lösung zur Vermeidung der zugrundeliegenden Sicherheitsprobleme implementiert.
    SetHandler und "AllowOverride FileInfo" sind mit LiveConfig v2.8 also wieder problemlos (und risikolos) möglich.

    [ENDE]


    Hallo,

    kürzlich hat uns ein Kunde auf ein mögliches Sicherheitsrisiko in der Apache-Konfiguration aufmerksam gemacht. Nach kurzer Prüfung konnten wir das Problem bestätigen und haben seitdem einen entsprechenden Patch erarbeitet.
    Das Problem ist, dass es sich hier um keinen klassischen "Bug" handelt, sondern Apache in einem bestimmten Zusammenhang schlicht keine Sicherheitsprüfung vornimmt. Bevor wir die Details näher beschreiben möchten wir aber allen Kunden noch genügend Zeit geben, um das Update zu installieren.

    Besonders auf Servern, auf denen PHP-FPM läuft, sollte dieses Update möglichst zeitnah eingespielt werden.
    Es besteht kein Risiko "von außen". Ein möglicher Angriff müsste lokal erfolgen und setzt einige Kenntnisse über die jeweilige Serverkonfiguration voraus - wir schätzen die Sache also nicht als hochkritisch, aber dennoch ernst ein.
    Weniger kritisch ist das Thema bei Servern, bei denen PHP-FPM nicht aktiviert ist oder nicht genutzt wird - aber auch hier empfehlen wir das Update bei Gelegenheit durchzuführen. Reine NGINX-Webserver sind nicht betroffen.

    Das Update (v2.7.4) aktualisiert automatisch alle Apache-vHost-Konfigurationen wie folgt:
    • die AllowOverride-Option "FileInfo" wird entfernt
    • statt dessen werden die erlaubten Anweisungen in AllowOverrideList aufgeführt


    Die Anweisung "SetHandler" ist damit ab sofort nicht mehr in .htaccess-Dateien erlaubt!

    Jede "normale" Web-Anwendung benötigt keine SetHandler-Anweisung in .htaccess. Traurige Ausnahme ist Drupal: dort enthält u.a. /sites/default/.htaccess entsprechende SetHandler-Anweisungen, um die Ausführung von hochgeladenen Dateien zu verhindern (was ohnehin ein merkwürdiges Sicherheitskonzept ist, aber da hat Drupal noch ganz andere Probleme...).
    Informationen zur .htaccess-Thematik bei Drupal haben wir (white-labeled) vorab hier bereitgestellt: https://hostinghandbuch.de/apps.drupal.htaccess
    Am Ende dieser Seite ist auch ein Aufruf aus find und sed angegeben, mit dem man alle Drupal-.htaccess-Dateien auf einem Server rekursiv patchen kann (Ausführung auf eigene Gefahr!).

    Bei Multi-Server-Umgebungen ist es egal, ob das Update zuerst auf dem Server oder auf den Clients installiert wird.

    Wir empfehlen Ihnen folgendes Vorgehen:
    • Installation des Updates auf allen Servern mit Apache
    • Identifikation aller Kunden, die .htaccess-Dateien mit SetHandler-Anweisungen verwenden:
      Code:
      find /var/www -type f -name .htaccess -exec grep -Hi "^\s*sethandler" {} \;
    • Information der betroffenen Kunden, dass SetHandler nicht mehr genutzt werden darf
    • ggf. automatisches Patchen der betroffenen .htaccess-Dateien
      • zuerst speziell für Drupal:
        Code:
        find /var/www -type f -name .htaccess -exec \
        sed -e 's/^\(\s*Options\s\+\)+FollowSymLinks/\1+SymLinksIfOwnerMatch/i' \
            -e 's/^\(\s*\)\(SetHandler Drupal_Security_Do_Not_Remove.*\)/\1# \!\!\! SetHandler disabled - see https:\/\/hostinghandbuch.de\/apps.drupal.htaccess\n\1#\2\n\1RewriteEngine On\n\1RewriteRule .+\\.(php[3457]?|pht|phtml|phps|pl|py|pyc|pyo|sh)$ - [F,L]/i' \
            -i {} \;



    • dann für alle restlichen .htaccess-Dateien:
      Code:
      find /var/www -type f -name .htaccess -exec \
       sed -e 's/^\(\s*SetHandler\)/# \!\!\! SetHandler disabled - see https:\/\/hostinghandbuch.de\/apps.drupal.htaccess\n#\1/i' -i {} \;


    Bei Fragen stehen wir gerne zur Verfügung.

    Viele Grüße

    -Klaus Keppler
    Geändert von kk (20.08.2019 um 11:04 Uhr)

  2. #2
    Erfahrener Benutzer
    Registriert seit
    21.08.2012
    Ort
    Lebus
    Beiträge
    437
    Hallo

    Es werden nun nicht nur SET HANDLER bemängelt, sondern auch:

    AddDefaultCharSet
    FileETag

    Mit freundlichen Grüßen

    Martin Krüger
    RB Media Group GmbH - Ihr IT Service & Webhosting Provider
    Geschäftsführer: M. Krüger | Beeskower Str. 259e | D - 15890 Eisenhüttenstadt |
    Kontakt: ICQ# 117049978 | E-Mail: m.krueger@rb-media-group.de

  3. #3
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.258
    Zitat Zitat von RB-Media-Group Beitrag anzeigen
    Es werden nun nicht nur SET HANDLER bemängelt, sondern auch:

    AddDefaultCharSet
    FileETag
    Dann haben Sie eine frühere LiveConfig-Version aus dem Test-Repo installiert (vermutlich v2.7.4 <r5214).

    Das Test-Repository kann immer wieder mal instabile Versionen enthalten, wir raten daher DRINGEND davon ab, dieses Repository für die "regulären" Server zu nutzen.

    In diesem Fall müssen Sie folgenden SQL-Befehl in der LiveConfig-Datenbank ausführen:
    Code:
    UPDATE LIVECONFIG SET LC_VALUE='0005102' WHERE LC_KEY='dbschema' AND LC_VALUE = '0005103';
    Installieren Sie anschließend die aktuelle Version (2.7.4-r5214).

    Viele Grüße

    -Klaus Keppler

  4. #4
    Erfahrener Benutzer
    Registriert seit
    21.08.2012
    Ort
    Lebus
    Beiträge
    437
    Hallo

    auf dem Testserver ist und war bereits 2.7.4 r5214 installiert. Wir werden es weiterhin beobachten.

    Mit freundlichen Grüßen

    Martin Krüger
    RB Media Group GmbH - Ihr IT Service & Webhosting Provider
    Geschäftsführer: M. Krüger | Beeskower Str. 259e | D - 15890 Eisenhüttenstadt |
    Kontakt: ICQ# 117049978 | E-Mail: m.krueger@rb-media-group.de

  5. #5
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.258
    Zitat Zitat von RB-Media-Group Beitrag anzeigen
    auf dem Testserver ist und war bereits 2.7.4 r5214 installiert. Wir werden es weiterhin beobachten.
    Dann war aber trotzdem irgendeine frühere Testversion aus dem Repo (r5210 oder r5212) mal installiert, sonst wäre das o.g. Problem nicht aufgetreten.

  6. #6
    Benutzer
    Registriert seit
    11.10.2013
    Beiträge
    72
    Hallo,

    ich habe einige Kunden die bislang mittels htaccess-Datei die PHP-Version gesetzt haben

    FcgidWrapper /var/www/XXX/conf/php71/php-fcgi-starter .php
    Nach dem Update scheint dies ebenfalls nicht mehr möglich.
    Gibt es hier eine alternative wenn es nicht über die Domain/Subdomain in LiveConfig eingestellt werden soll?

  7. #7
    Erfahrener Benutzer
    Registriert seit
    07.04.2011
    Beiträge
    693
    Achtung: NEOS ist auch betroffen, dort wird der SetHandler auch verwendet:

    Code:
    # Prevent execution of script files
    SetHandler default-handler
    <Files *>
      # Override again if executed later in the evaluation list
      SetHandler default-handler
    </Files>

  8. #8
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.258
    Hmm, der Befehl FcgidWrapper ist ärgerlicherweise bei Apache nicht in den FileInfo-Overrides dokumentiert, sonst hätten wir den mit aufgenommen.

    Am einfachsten dürfte es sein, wenn Sie die Datei /usr/lib/liveconfig/lua/apache.lua bearbeiten und in Zeile 135 den Befehl "SubstituteMaxLineLength" durch "FcgidWrapper" ersetzen (*). Danach müssten Sie LiveConfig neu starten und den betroffenen Vertrag neu speichern (damit die vHost-Konfiguration aktualisiert wird).
    Wir werden FcgidWrapper beim nächsten Update auch mit in diese Liste aufnehmen (die Änderung ist daher quasi "updatesicher").
    Sicherheitstechnisch spricht aktuell nichts gegen FcgidWrapper, da hier die "normalen" suexec-Schutzmechanismen greifen.

    Viele Grüße

    -Klaus Keppler

    *) es hilft NICHT, die Anweisung "FcgidWrapper" einfach an die Liste anzufügen - nein, dafür muss leider ein anderer Eintrag dran glauben. Es gibt vermutlich einen Bug in Apache, welcher die maximale Länge der Zeile "AllowOverrideList" implizit begrenzt (laut Doku kann eine einzelne Config-Zeile max. 16MB groß sein, in der Praxis wird sie aber irgendwo klammheimlich (ohne Log-Meldung) abgeschnitten. Mehr als das, was LiveConfig aktuell rausschreibt, ist offenbar nicht drin.

  9. #9
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.258
    Zitat Zitat von antondollmaier Beitrag anzeigen
    Achtung: NEOS ist auch betroffen, dort wird der SetHandler auch verwendet
    Danke für den Hinweis, wir werden das mit in die Doku aufnehmen.

  10. #10
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.258
    Für alle CMS-Entwickler die hier eines Tages mal mitlesen: es ist BAD PRACTICE, mittels .htaccess in die Serverkonfiguration einzugreifen. Der Schutz via SetHandler ist nett gemeint, verpufft aber sobald man z.B. NGINX einsetzt. Letztendlich wird zudem nur am Symptom herumgepfuscht (Ausführung von Dateien, die irgendwie im Webspace gelandet sind) als die eigentliche Ursache zu vermeiden (durch eine anständige Architektur, z.B. Speicherung reiner Nutzdaten außerhalb des Webspace-Roots).

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •