22 ноября 2013 в 1:15
Народ,помогите убрать ошибку после обновления 6.29. Все файлы htaccess вроде обновил,но все равно выдаёт ошибку что /tmp directory не защищен. Так там и не было файла htaccess, ставишь - не идет,убираешь -не идет. Там что -то написано по английски ,(на drupal.org/SA-CORE-2013-003), по серверные настройки, может это к хостерам нужно обращаться ?
| Вложение | Размер |
|---|---|
 2013-11-21_221456.jpg | 28.91 КБ |
Комментарии
Я извиняюсь,разобрался. Нужно было убрать слеш с tmp в настройках файловой системы. Великий и могучий ДРУПАЛ, так развлекает,пока найдешь где искать,а потом оказывается,что все так легко и просто.
Ну так 'tmp' и '/tmp' совершенно разные папки, друпал тут ни при чем.
А всего лишь надо было убрать файл .htaccess из временной папки.
Что вы и сделали, заменив временную папку.
Можете пожалуйста по подробней?
я не могу найти на хосте папку /tmp
И может ли кто нибудь скинуть файл с уже внесенными изменениями?
Руками добавить в .htaccess
В папке sites/default/files:
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>
В папаке tmp:
Или удалить файлы .htaccess из этих папок.
Система сама создаст эти файлы.
Я тоже не могу найти на хосте папку /tmp, где её искать?
Воспользоватся ftp или панелью управления хостингом.
Ваши варианты могут быть разные. Спросить у хостера.
просто зайдите в /sites/all/files и удалите .htaccess и ошибка уйдет
cd /tmp
я не думаю что народ поймет что с этим делать :о
/tmp - путь от корня сервера
tmp - путь от корня сайта
В описании обновления есть текст, который нужно добавить в файл .htaccess в папке /sites/all/files
Не делайте так. А товарищ который это посоветовал, рекомендую Вам предварительно читать информацию хотябы на этом сайте, прежде чем советовать чушь.
Чем удаление и пересоздание друпалом .htaccess плохо?
Или ты про ламерскую [DOCUMENT ROOT]/tmp?
Я про
Да и не у всех есть доступ по к сайтам по SSH.
То есть вы ни читаете по английски? Бывает.
Для тех кому влом самому вкуривать, был совет выше удалить эти файлы.
А тем кто сомневается действенности удаления ,вот полное содержание файла для папки files
Options None
Options +FollowSymLinks
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>
# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
Т.е. я читаю внимательно.
Это обновление безопасности служит для того, чтобы запретить выполнение php скриптов из указанных директорий.
А Вы просто посоветовали людям вписать флаг, по которому Drupal проверяет, применено ли это обновление. Причём оставив потенциальную уязвимость.
Я не говорил, что удаление .htaccess не поможет.
Приведённый Вами полный конфиг, действительно являеться правельным.
Но простое вписывание
действительно чушь.
Поставить дру7?
Абсолютно верно... И я с Вами согласен, что мы так не убираем уязвимость.
А теперь читатйе внимательно тему:
Название темы:
Выше приведены все правильные действия...
А теперь снова название темы:
Внимательно:
Эта уязвимость была обнаружена и исправлена и в 7 версии.
Аналогичным образом.
А вообще, кто фигачит на рабочий сайт обновы не вникая, что это ему даст, и не поюзав на тестовой плащадке или подождав пару недель? Иногда надо читать, хотя бы ридми.
Но у нас вряд ли, это же так по-русски. "Если ничего не помогло, прочитайте наконец, инструкцию"
Спор беспредметный. Пошла лажа.
Вы не читали вопрос и не читали ответы.
Вы решили докопаться или блеснуть?
Продолжайте... Вы круты. И с этим я согласен тоже
Ок. Спасибо за понимание.
Согласен.
Обновляюсь только в двух случаях. Если вышло критическое обновление по безопасности и если увидел баг и знаю что обновление его исправит.
Просто так, ради цифры обновлять, да ну нафиг. Как в анекдоте,
- Работает?
- Работает!
- Проверял?
- Проверял!
- Вот и не трогай больше.