Как защитить общедоступный каталог файловой системы и временную папку - предупреждение SA-CORE-2013-003 после обновления 7.24?

Главные вкладки

Аватар пользователя Oligerd Oligerd 21 ноября 2013 в 3:19

После обновления ядра 7.24 в отчете о состоянии появилось предупреждение:

"Not fully protected

Public files directory

See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the files directory to help protect against arbitrary code execution."

Пытался по ссылке пройти на drupal.org,

Access denied.(на drupal.org зарегистрирован уже 2 года)

Может кто знает, как поправить .htaccess для того чтобы защита заработала?

ВложениеРазмер
Иконка изображения bezopasnost.png54.04 КБ

Комментарии

Аватар пользователя royale555 royale555 21 ноября 2013 в 3:46

Как пишут в [Security-news] SA-CORE-2013-003:
Нужно или внести изменения в .htaccess по ихним рекомендациям, либо удалить .htaccess из временной папки (/tmp), приватной папки (sites/default/files/private) и папки с файлами (sites/default/files) после drupal создаст правильный .htaccess

Аватар пользователя vortex vortex 22 ноября 2013 в 17:47

royale555 wrote:
Как пишут в [Security-news] SA-CORE-2013-003:
Нужно или внести изменения в .htaccess по ихним рекомендациям, либо удалить .htaccess из временной папки (/tmp), приватной папки (sites/default/files/private) и папки с файлами (sites/default/files) после drupal создаст правильный .htaccess

Спасибо!

Аватар пользователя soloas soloas 24 ноября 2013 в 11:55

royale555 wrote:
Как пишут в [Security-news] SA-CORE-2013-003:
Нужно или внести изменения в .htaccess по ихним рекомендациям, либо удалить .htaccess из временной папки (/tmp), приватной папки (sites/default/files/private) и папки с файлами (sites/default/files) после drupal создаст правильный .htaccess

СПАСИБО

Аватар пользователя Oligerd Oligerd 21 ноября 2013 в 4:00

Спасибо за быструю реакцию!

to royale555
Удалил файлы .htaccess из указанных директорий, после запуска cron Друпал создал фалы с внутренним содержимым:

---------------------------------------------------------------------------
Deny from all

# Turn off all options we don't need.
Options None
Options +FollowSymLinks

# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006

# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003

# If we know how to do it safely, disable the PHP engine entirely.

php_flag engine off

--------------------------------------------------------------------------
Так что ХулиGUN тоже прав.
Спасибо!
Можно сказать, что вопрос закрыт.

Аватар пользователя krueger032 krueger032 21 ноября 2013 в 13:06

Ребят, а что делать, если сайт смотрит неправильный путь к папке tmp, просто менялся виртуальный сервер, смотрит старый путь xampp\tmp, а сейчас уже openserver\userdata\temp. Где он прописывается

Решил, а оно оказалось вообще в админке, lol.

Аватар пользователя serpo serpo 21 ноября 2013 в 19:05

бред какой-то... судя по всему, после прописания строки

php_flag engine off

он у меня вообще перестает читать index.php и выдает 404 ошибку, а по ней как раз на индекс и должен выходить.

что такое директория /tmp - так и не разобрался. Внутри /public_html ее никогда не было, а выше - прописывал этот .htaccess, бесполезно, все равно выдает ошибку

See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the /tmp directory to help protect against arbitrary code execution.

Аватар пользователя smaxim smaxim 21 ноября 2013 в 23:43

Народ,подскажите как это сделать на Друпале 6.29.А то я пробую по этим рекомендациям ничего не выходит.

Аватар пользователя clubwave.ru clubwave.ru 16 января 2014 в 20:28

"RxB" wrote:
Надо начинать банить за такое

Да, друпал оказуалился..

с другой стороны у меня не выходит решить эту проблему, а переносить tmp в корень сайта я не хочу

Аватар пользователя leramulina leramulina 19 марта 2014 в 7:21

Смотрела я на эти htaccess файлы. У меня в них текст точно такой же как и в

https://drupal.org/SA-CORE-2013-003

Права на каталоги 700 и на файлы в подкаталогах. Пробовала удалить все htaccess из tmp, sites/default/files, sites/defaul/files/private и после запуска крона они обновились. С тем же текстом.

Тем не менее backup_migrate ругается

Security notice: Backup and Migrate will not save backup files to the server because the destination directory is publicly accessible. If you want to save files to the server, please secure the 'sites/default/files/private/backup_migrate/manual' directory
Security notice: Backup and Migrate will not save backup files to the server because the destination directory is publicly accessible. If you want to save files to the server, please secure the 'sites/default/files/private/backup_migrate/manual' directory
Could not run backup because the file could not be saved to the destination.

И файлы, сложенные в приватной папке доступны из браузера.

Аватар пользователя vortex vortex 19 марта 2014 в 13:33

"leramulina" wrote:

С тем же текстом - это каким?

Additionally, the .htaccess of the temporary files directory and private files directory (if used) should include this command:
Deny from all

Deny from all

# Turn off all options we don't need.
Options None
Options +FollowSymLinks

# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
  # Override the handler again if we're run later in the evaluation list.
  SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>

# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
  php_flag engine off
</IfModule>