Как убрать ошибку - предупреждение SA-CORE-2013-003 после обновления 6.29?

Главные вкладки

Аватар пользователя smaxim smaxim 22 ноября 2013 в 1:15

Народ,помогите убрать ошибку после обновления 6.29. Все файлы htaccess вроде обновил,но все равно выдаёт ошибку что /tmp directory не защищен. Так там и не было файла htaccess, ставишь - не идет,убираешь -не идет. Там что -то написано по английски ,(на drupal.org/SA-CORE-2013-003), по серверные настройки, может это к хостерам нужно обращаться ?

ВложениеРазмер
Иконка изображения 2013-11-21_221456.jpg28.91 КБ

Комментарии

Аватар пользователя smaxim smaxim 22 ноября 2013 в 1:34

Я извиняюсь,разобрался. Нужно было убрать слеш с tmp в настройках файловой системы. Великий и могучий ДРУПАЛ, так развлекает,пока найдешь где искать,а потом оказывается,что все так легко и просто.

Аватар пользователя NurOff NurOff 23 ноября 2013 в 0:14

А всего лишь надо было убрать файл .htaccess из временной папки.
Что вы и сделали, заменив временную папку. Smile

Аватар пользователя Sadchenko Sadchenko 26 ноября 2013 в 20:17

Можете пожалуйста по подробней?
я не могу найти на хосте папку /tmp
И может ли кто нибудь скинуть файл с уже внесенными изменениями?

Аватар пользователя NurOff NurOff 28 ноября 2013 в 16:44

Руками добавить в .htaccess
В папке sites/default/files:

<Files *>
  SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>

В папаке tmp:

Deny from all

Или удалить файлы .htaccess из этих папок.
Система сама создаст эти файлы.

Аватар пользователя NurOff NurOff 30 ноября 2013 в 19:45

Воспользоватся ftp или панелью управления хостингом.
Ваши варианты могут быть разные. Спросить у хостера.

Аватар пользователя SVictor SVictor 18 декабря 2013 в 21:02

/tmp - путь от корня сервера
tmp - путь от корня сайта

В описании обновления есть текст, который нужно добавить в файл .htaccess в папке /sites/all/files

Аватар пользователя chilic chilic 19 декабря 2013 в 0:36

"NurOff" wrote:
Руками добавить в .htaccess
В папке sites/default/files:

SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003

В папаке tmp:

Deny from all

Или удалить файлы .htaccess из этих папок.
Система сама создаст эти файлы.

Не делайте так. А товарищ который это посоветовал, рекомендую Вам предварительно читать информацию хотябы на этом сайте, прежде чем советовать чушь.

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 19 декабря 2013 в 1:27

"chilic" wrote:
Не делайте так. А товарищ который это посоветовал, рекомендую Вам предварительно читать информацию хотябы на этом сайте, прежде чем советовать чушь.

Чем удаление и пересоздание друпалом .htaccess плохо?
Или ты про ламерскую [DOCUMENT ROOT]/tmp?

Аватар пользователя Faceless Faceless 19 декабря 2013 в 3:19

"Niklan" wrote:

"drupby" написал(а):

cd /tmp

я не думаю что народ поймет что с этим делать :о


Да и не у всех есть доступ по к сайтам по SSH.

Аватар пользователя NurOff NurOff 19 декабря 2013 в 7:42

"chilic" wrote:
А товарищ который это посоветовал, рекомендую Вам предварительно читать информацию хотябы на этом сайте, прежде чем советовать чушь.

То есть вы ни читаете по английски? Бывает.
Для тех кому влом самому вкуривать, был совет выше удалить эти файлы.
А тем кто сомневается действенности удаления ,вот полное содержание файла для папки files

# Turn off all options we don't need.
Options None
Options +FollowSymLinks

# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
  # Override the handler again if we're run later in the evaluation list.
  SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>

# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
  php_flag engine off
</IfModule>

Аватар пользователя chilic chilic 19 декабря 2013 в 13:41

"NurOff" wrote:
То есть вы ни читаете по английски? Бывает.

Т.е. я читаю внимательно.
Это обновление безопасности служит для того, чтобы запретить выполнение php скриптов из указанных директорий.
"NurOff" wrote:
php_flag engine off

А Вы просто посоветовали людям вписать флаг, по которому Drupal проверяет, применено ли это обновление. Причём оставив потенциальную уязвимость.

Я не говорил, что удаление .htaccess не поможет.
Приведённый Вами полный конфиг, действительно являеться правельным.
Но простое вписывание

"NurOff" wrote:
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003

действительно чушь.

Аватар пользователя NurOff NurOff 20 декабря 2013 в 22:23

"chilic" wrote:
А Вы просто посоветовали людям вписать флаг, по которому Drupal проверяет, применено ли это обновление. Причём оставив потенциальную уязвимость.

Абсолютно верно... И я с Вами согласен, что мы так не убираем уязвимость.
А теперь читатйе внимательно тему:
Название темы:
"smaxim" wrote:
Как убрать ошибку - предупреждение SA-CORE-2013-003 после обновления 6.29?

"NurOff" wrote:
всего лишь надо было убрать файл .htaccess из временной папки

"SVictor" wrote:
В описании обновления есть текст, который нужно добавить в файл .htaccess в папке /sites/all/files

Выше приведены все правильные действия...

А теперь снова название темы:

"smaxim" wrote:
Как убрать ошибку - предупреждение SA-CORE-2013-003 после обновления 6.29?

Аватар пользователя NurOff NurOff 20 декабря 2013 в 22:27

"iHappy" wrote:
Поставить дру7? ;)

Эта уязвимость была обнаружена и исправлена и в 7 версии.
Аналогичным образом.
А вообще, кто фигачит на рабочий сайт обновы не вникая, что это ему даст, и не поюзав на тестовой плащадке или подождав пару недель? Иногда надо читать, хотя бы ридми.
Но у нас вряд ли, это же так по-русски. "Если ничего не помогло, прочитайте наконец, инструкцию"

Аватар пользователя NurOff NurOff 21 декабря 2013 в 1:32

Спор беспредметный. Пошла лажа.
Вы не читали вопрос и не читали ответы.

"NurOff" wrote:
Абсолютно верно... И я с Вами согласен, что мы так не убираем уязвимость.
А теперь читатйе внимательно тему:
Название темы:

Вы решили докопаться или блеснуть?
Продолжайте... Вы круты. И с этим я согласен тоже Smile

Аватар пользователя ihappy ihappy 23 декабря 2013 в 19:12

"NurOff" wrote:
А вообще, кто фигачит на рабочий сайт обновы не вникая, что это ему даст, и не поюзав на тестовой плащадке или подождав пару недель? Иногда надо читать, хотя бы ридми.

Согласен.
Обновляюсь только в двух случаях. Если вышло критическое обновление по безопасности и если увидел баг и знаю что обновление его исправит.
Просто так, ради цифры обновлять, да ну нафиг. Как в анекдоте,
- Работает?
- Работает!
- Проверял?
- Проверял!
- Вот и не трогай больше.