typo3 - 升级到 9.5.17 后的安全消息-6ren

typo3 - 升级到 9.5.17 后的安全消息

转载作者：行者123 更新时间：2023-12-04 11:20:32

24

4

升级到 9.5.17 后，我在报告中收到以下安全消息:

服务器对静态文件的响应:

www.mydomain.de/typo3temp/assets/43cd7f07.tmp/2500f854.html.wrong
   unexpected content-type text/html
www.mydomain.de/typo3temp/assets/43cd7f07.tmp/2500f854.1.svg.wrong
   unexpected content-type image/svg+xml
www.mydomain.de/typo3temp/assets/43cd7f07.tmp/2500f854.php.wrong
   unexpected content PHP content
www.mydomain.de/typo3temp/assets/43cd7f07.tmp/2500f854.php.txt
   unexpected content PHP content

这是什么意思？

我检查了文件夹/typo3temp/assets/- 没有文件夹 43cd7f07.tmp

谢谢!

最佳答案

您收到的错误消息是安全功能的一部分，该功能已集成到最近的 TYPO3 v9.5.17 和 v10.4.2 版本中，请参阅 https://docs.typo3.org/c/typo3/cms-core/master/en-us/Changelog/9.5.x/Feature-91354-IntegrateServerResponseSecurityChecks.html

基本上这意味着您当前的服务器系统

正在评估类似 test.php.txt 的文件( .php 不在文件名的末尾)仍然作为 PHP 内容 - 这可能会导致安全漏洞，以防有人设法上传类似的文件(可能被视为 text/plain 文件，但实际上是可执行的 PHP 代码)

潜在 远程代码执行

正在提供类似 test.html.wrong 的文件( .html 不在文件名末尾)仍为 text/html触发浏览器执行 HTML 标签和潜在危险 <script>标签

潜在 跨站脚本

Call for action

In case this is a live and in production server, you should adjust your web server configuration.

解决方法是将那些 Web 服务器 MIME 类型映射限制为仅包含具有例如 .html最后，如本示例中所示的 Apache HTTP Web 服务器

<FilesMatch ".+\.html?$">
    AddType text/html .html .htm
</FilesMatch>

在 https://docs.typo3.org/m/typo3/reference-coreapi/10.4/en-us/Security/GuidelinesAdministrators/Index.html#file-extension-handling 服务器管理员的 TYPO3 安全指南中查找更多详细信息和解释。

2020 年 5 月 17 日更新

https://gist.github.com/ohader/11d737de95895f8ca16495a8b7001c45包含如何调整 .htaccess 的示例文件，以防在(共享)托管环境中无法更改设置。

<IfModule mod_mime.c>
    RemoveType .html .htm
    <FilesMatch ".+\.html?$">
        AddType text/html .html
        AddType text/html .htm
    </FilesMatch>

    RemoveType .svg .svgz
    <FilesMatch ".+\.svgz?$">
        AddType image/svg+xml .svg
        AddType image/svg+xml .svgz
    </FilesMatch>

    RemoveHandler .php
    <FilesMatch ".+\.php$">
        # IMPORTANT: `php-fcgid` is using in THIS example
        # Most probably is different for each individual configuration
        SetHandler php-fcgid
        # SetHandler php-script
        # SetHandler application/x-httpd-php
    </FilesMatch>
</IfModule>

当前处理程序标识符 php-fcgid使用 phpinfo(); 为上述示例标识并搜索 $_SERVER[REDIRECT_HANDLER] :

$_SERVER['REDIRECT_HANDLER'] php-fcgid

关于typo3 - 升级到 9.5.17 后的安全消息，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/61759835/

24

4

0

文章推荐： macos - 如何在 Mac 上停止和启动 Jenkins

文章推荐： vb.net - UseExternalSignInCookie 不是 Owin.IAppBuilder 的成员

文章推荐： assembly - 启用引导加载程序以加载 USB 的第二个扇区

c++ - 看到 std::vector 和 std::vector 时发出的编译器诊断之间存在差异的原因是什么
考虑这两个程序及其尝试编译。 #include int main() { std::vector a; // Errors centered around `Typo` being an i
.net - 如何检测某个短语或正则表达式的 "typo"？
如何才能检测到拼写错误，但仅限于特定短语。另一种思考方式是如何检测某个正则表达式的拼写错误。例如，我不想要一个通用的拼写错误查找器，我在上面找到了多个资源。我不想要一个通用的拼写检查器，我又在上面找
javascript - 对数复杂度 : Either the book has a typo or what's happening here?
我现在正在研究算法，我遇到过一个例子，我的回答是 Infinite loop但在正确答案中，它说它是 O(log2n) . function someFunc(n) { for(var i =
intellij-idea - IntelliJ : Move to next typo
IntelliJ IDEA 具有检查拼写的功能。在分析概述中，我可以看到发现了多少拼写错误，例如发现 12 个拼写错误。在代码中，它们使用绿色波浪线突出显示。但是，我发现手动查找那些波浪线非常困难。
haskell - Typo(?) ("composition") 七周内七种语言 - Haskell 部分
我是 still通过“七周内的七种语言”，我发现了一个错字或我不明白的东西。挑战之一是: Write a function that takes an argument x and returns
Jquery ajax休息服务调用: Typo Error Access is denied
我正在从 Jquery 调用 WCF Rest 服务，如下所示。在我的 WCF Rest 服务中，安全模式是传输。下面的代码返回“访问被拒绝”错误。 function GetRest
android - 最小宽度 : Is this a typo in Android Documentation on Resources?
引用自 Resources Documentation 的 smallestWidth 部分安卓: Thus, the value you use should be the actual small
intellij-idea - 智能 : Move to next typo
IntelliJ IDEA 具有检查拼写的检查功能。在分析概览中，我可以看到发现了多少拼写错误，例如发现 12 个拼写错误。在代码中，它们使用绿色波浪线突出显示。但是，我发现手动查找那些波浪线非常困
Android Studio - 如何关闭 "typo in word ' word'？
当命名变量或提供字符串参数时，Android Studio 似乎对我如何标记事物有问题。有没有办法关闭它？最佳答案是的，打开 Preferences -> Editor -> Inspectio
solr - 用户在文本中输入 TYPO 时的 Apache Solr 搜索查询
我已将数据添加到 solr。名称字段值为:“batman”、“bat man”、“bat-man” 因此，如果用户搜索“btman”，结果应显示搜索中的所有上述值。我发现这样的查询:localho
perl - 如何摆脱 'Name ... used only once: possible typo at ...' ？
use YAML::XS; local $YAML::XS::DumpCode=1; ... 我收到警告: Name "YAML::XS::DumpCode" used only once: poss
react-native - 将属性声明为样式时，Eslint react/no-typos 规则会引发错误
我在 react native 应用程序中遇到了 eslint 的问题。我正在为我的组件声明样式属性。它看起来像: Component.propTypes = { styles: ViewPro
intellij-idea - 想法 : How to suppress warnings for spelling typos?
我的一个函数加密一个字符串，我的一个测试验证它发生了。自然，像 sldjf982389 这样的字符串不被识别为有效的英语单词，所以 IntelliJ提示。如果有办法在不向字典中添加垃圾的情况下抑制这
php - WordPress 基尔基 : Typo found in field post_title
我在云托管中托管了一个 wordpress 网站。我注意到 apache error_log 文件大小增长得非常快，我发现了这个错误(Kirki: Typo found in field post_t
ruby-on-rails - 如何在现有的 Rails 应用程序中使用 'Typo' gem，现在它作为单独的博客引擎运行？
我经常被指向错误博客引擎的来源，即 http://typosphere.org/stable.tar.gz但是，如果我下载并执行以下操作:捆绑安装等。它会作为单独的引擎运行。我尝试将拼写错误安装为
mysql - 找不到列 : 1054 Unknown column - NO TYPOS NOR WRONG ' ` "
我正在使用 cakePHP 创建待办事项应用程序。 CakePHP 会为您创建查询等。这就是为什么不能出现拼写错误的原因。错误: Error: SQLSTATE[42S22]: Column not
Perl readdir 警告 - 名称 "main::DIR"仅使用一次 : possible typo
我有一个脚本，它列出了特定目录中可能的文件。该代码工作正常，但如何避免此警告？ #!/usr/bin/perl use strict; use warnings; use autodie; my $l
lua - 在Lua中，a = Account :new{balance = 0} work or is it a typo? 是如何实现的
在Lua网站上https://www.lua.org/pil/16.1.html ，有这段代码 function Account:new (o) o = o or {} -- create o
javascript - 更新 : USER ERROR - TYPO ! ! grunt-contrib-coffee 查找文件和写入目标时出错
在我的 Gruntfile.js 中，我将咖啡任务配置为如此，并且 src/ 目录中存在一个文件 script.coffee: coffee: { dist: { files:
java - SCJP 书，IO 部分 : Is this a typo or is there a reason it would look like this?
我的问题是关于行(编辑:19)，其中新的 PrintWriter 是使用将 FileWriter fw 作为参数的构造函数创建的。如果稍后在实际写作中不使用，我不明白将 BufferedWriter

首页

博学

6Ren·AI

商城

typo3 - 升级到 9.5.17 后的安全消息