[TYPO3-german] Security Updates
Peter Linzenkirchner
liste at lisardo.de
Fri May 23 08:23:28 CEST 2014
Hallo Jan,
wie müssten denn die trustedHostsPattern aussehen, bei mehreren Domains?
['TYPO3_CONF_VARS']['SYS']['domain1.de,domain2.de']
?
Peter
Am 22.05.2014 um 23:27 schrieb Jan Bartels <j.bartels at arcor.de>:
> Am 22.05.2014 15:22, schrieb Peter Linzenkirchner:
>> ich versuche gerade die letzte Security Meldung zu verstehen. Darin
>> steht: ...
>>
>> OK, wie bekomme ich jetzt raus, was bei meinen Shared hosts zutrifft?
>> Wenn ich das richtige verstehe, sind praktisch alle Shared Hosts name
>> based, aber Wissen würde ich das nicht nennen ... :-)
>>
>> Weiß jemand mehr?
>
> Nö, eher im Gegenteil: Ich habe heute Abend in mehreren Anläufen versucht, vom Support unseres Hosters herauszubekommen, wie SERVER_NAME gesetzt wird. Irgendwie eiern die drumherum. Ich weiß nun schon, dass es keine virtual hosts sind, sondern: "Die Pfade werden in unserem System auf andere Weise zugeordnet." (Wie denn nun genau?) und "Es wird daher bei jedem Request der vom Client bereits anfragende 'ServerName' also der Name der Domain ... zurückgeliefert.". Ist dass dann nicht der kompromitterende host-Header? Aber man betont, dass "die genannte Sicherheitslücke nicht in unserem Apache besteht."
>
> Ich habe das alles nicht so recht verstanden und vertraue dem Geschwurbel nicht so recht, obwohl ich in der Support-Anfrage auf das Security-Bulletin verwiesen habe. Nun habe ich kurzerhand einfach die localconf um den neuen Eintrag erweitert. Sicher ist sicher!
>
> Peter, vielleicht hast Du ja mehr Glück bei Deinem Hoster.
>
> Und vielleicht noch eine Frage an die Core-Devs: Lässt sich der trustedHostsPattern-Eintrag nicht evtl. automatisch aus den Domain-Records ableiten?
>
> Gruß,
>
> Jan
>
>
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia
More information about the TYPO3-german
mailing list