J3.x

Joomla! 3.9.3 Sicherheitshinweise

From Joomla! Documentation

This page is a translated version of the page J3.x:Joomla 3.9.3 Security Notes and the translation is 80% complete.

Other languages:
Deutsch • ‎Ελληνικά • ‎English • ‎français • ‎italiano • ‎Nederlands • ‎svenska

.htaccess und web.config Sicherheits-Update

Seit Version 3.9.3 wird Joomla! mit zusätzlichen Sicherheitsmaßnahmen in den Standard htaccess.txt und web.config.txt Dateien ausgeliefert. Diese Maßnahmen deaktivieren die so genannte MIME-Sniffing-Funktion in Webbrowsern. Das Sniffing führt zu speziellen Angriffsvektoren mit denen Skripte in normalerweise harmlosen Dateiformaten (z.B. Bilder) ausgeführt werden können. Das führt zu Cross-Site-Scripting-Schwachstellen.

Das Joomla! Sicherheitsteam (JSST) empfiehlt dringend, die notwendigen Änderungen manuell auf bestehende .htaccess oder web.config Dateien anzuwenden, da diese Dateien nicht automatisch aktualisiert werden können.

Änderungen in der .htaccess

Folgende Zeilen einfügen vor ## Mod_rewrite in use:

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Änderungen in der web.config

Folgende Zeilen einfügen direkt nach </rewrite>:

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>

Changes for Nginx

In case you are using Nginx webserver, add the following parameter under the server block in your Nginx configuration /etc/nginx/nginx.conf

http {
  add_header X-Content-Type-Options nosniff;
}