[TYPO3-german] Security Updates
Jan Bartels
j.bartels at arcor.de
Thu May 22 23:27:25 CEST 2014
Am 22.05.2014 15:22, schrieb Peter Linzenkirchner:
> ich versuche gerade die letzte Security Meldung zu verstehen. Darin
> steht: ...
>
> OK, wie bekomme ich jetzt raus, was bei meinen Shared hosts zutrifft?
> Wenn ich das richtige verstehe, sind praktisch alle Shared Hosts name
> based, aber Wissen würde ich das nicht nennen ... :-)
>
> Weiß jemand mehr?
Nö, eher im Gegenteil: Ich habe heute Abend in mehreren Anläufen
versucht, vom Support unseres Hosters herauszubekommen, wie SERVER_NAME
gesetzt wird. Irgendwie eiern die drumherum. Ich weiß nun schon, dass es
keine virtual hosts sind, sondern: "Die Pfade werden in unserem System
auf andere Weise zugeordnet." (Wie denn nun genau?) und "Es wird daher
bei jedem Request der vom Client bereits anfragende 'ServerName' also
der Name der Domain ... zurückgeliefert.". Ist dass dann nicht der
kompromitterende host-Header? Aber man betont, dass "die genannte
Sicherheitslücke nicht in unserem Apache besteht."
Ich habe das alles nicht so recht verstanden und vertraue dem
Geschwurbel nicht so recht, obwohl ich in der Support-Anfrage auf das
Security-Bulletin verwiesen habe. Nun habe ich kurzerhand einfach die
localconf um den neuen Eintrag erweitert. Sicher ist sicher!
Peter, vielleicht hast Du ja mehr Glück bei Deinem Hoster.
Und vielleicht noch eine Frage an die Core-Devs: Lässt sich der
trustedHostsPattern-Eintrag nicht evtl. automatisch aus den
Domain-Records ableiten?
Gruß,
Jan
More information about the TYPO3-german
mailing list