Как защитить общедоступный каталог файловой системы и временную папку - предупреждение SA-CORE-2013-003 после обновления 7.24?
21 ноября 2013 в 3:19
После обновления ядра 7.24 в отчете о состоянии появилось предупреждение:
"Not fully protected
Public files directory
See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the files directory to help protect against arbitrary code execution."
Пытался по ссылке пройти на drupal.org,
Access denied.(на drupal.org зарегистрирован уже 2 года)
Может кто знает, как поправить .htaccess для того чтобы защита заработала?
Вложение | Размер |
---|---|
bezopasnost.png | 54.04 КБ |
- Блог
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Комментарии
Как пишут в [Security-news] SA-CORE-2013-003:
Нужно или внести изменения в .htaccess по ихним рекомендациям, либо удалить .htaccess из временной папки (/tmp), приватной папки (sites/default/files/private) и папки с файлами (sites/default/files) после drupal создаст правильный .htaccess
Спасибо!
СПАСИБО
Спасибо за быструю реакцию!
to royale555
Удалил файлы .htaccess из указанных директорий, после запуска cron Друпал создал фалы с внутренним содержимым:
---------------------------------------------------------------------------
Deny from all
# Turn off all options we don't need.
Options None
Options +FollowSymLinks
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
# If we know how to do it safely, disable the PHP engine entirely.
php_flag engine off
--------------------------------------------------------------------------
Так что ХулиGUN тоже прав.
Спасибо!
Можно сказать, что вопрос закрыт.
Ребят, а что делать, если сайт смотрит неправильный путь к папке tmp, просто менялся виртуальный сервер, смотрит старый путь xampp\tmp, а сейчас уже openserver\userdata\temp. Где он прописывается
Решил, а оно оказалось вообще в админке, lol.
бред какой-то... судя по всему, после прописания строки
php_flag engine off
он у меня вообще перестает читать index.php и выдает 404 ошибку, а по ней как раз на индекс и должен выходить.
что такое директория /tmp - так и не разобрался. Внутри /public_html ее никогда не было, а выше - прописывал этот .htaccess, бесполезно, все равно выдает ошибку
See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the /tmp directory to help protect against arbitrary code execution.
serpo, та же проблема.
Вы смогли решить эту проблему?
dmuradz, была аналогичная ситуация. Решение: в admin/settings/file-system убрать слэш перед tmp, сохранить.
сейчас это admin/config/media/file-system
7 лет прошло, а проблема все та же
Эта "проблема" осталась там же, в 2013 году
Народ,подскажите как это сделать на Друпале 6.29.А то я пробую по этим рекомендациям ничего не выходит.
royale555 - спасибо!
Спасиб, тоже помогло!
Надо начинать банить за такое
В каком плане Банить? это вредит сайту?
Да, друпал оказуалился..
с другой стороны у меня не выходит решить эту проблему, а переносить tmp в корень сайта я не хочу
не там папку tmp смотрел
Смотрела я на эти htaccess файлы. У меня в них текст точно такой же как и в
https://drupal.org/SA-CORE-2013-003
Права на каталоги 700 и на файлы в подкаталогах. Пробовала удалить все htaccess из tmp, sites/default/files, sites/defaul/files/private и после запуска крона они обновились. С тем же текстом.
Тем не менее backup_migrate ругается
Security notice: Backup and Migrate will not save backup files to the server because the destination directory is publicly accessible. If you want to save files to the server, please secure the 'sites/default/files/private/backup_migrate/manual' directory
Security notice: Backup and Migrate will not save backup files to the server because the destination directory is publicly accessible. If you want to save files to the server, please secure the 'sites/default/files/private/backup_migrate/manual' directory
Could not run backup because the file could not be saved to the destination.
И файлы, сложенные в приватной папке доступны из браузера.
С тем же текстом - это каким?
Additionally, the .htaccess of the temporary files directory and private files directory (if used) should include this command:
Deny from all
# Turn off all options we don't need.
Options None
Options +FollowSymLinks
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>
# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
php_flag engine off
</IfModule>