Joomla! 3.9.3 Sicherheitshinweise
From Joomla! Documentation
.htaccess und web.config Sicherheits-Update
Seit Version 3.9.3 wird Joomla! mit zusätzlichen Sicherheitsmaßnahmen in den Standard htaccess.txt und web.config.txt Dateien ausgeliefert. Diese Maßnahmen deaktivieren die so genannte MIME-Sniffing-Funktion in Webbrowsern. Das Sniffing führt zu speziellen Angriffsvektoren mit denen Skripte in normalerweise harmlosen Dateiformaten (z.B. Bilder) ausgeführt werden können. Das führt zu Cross-Site-Scripting-Schwachstellen.
Das Joomla! Sicherheitsteam (JSST) empfiehlt dringend, die notwendigen Änderungen manuell auf bestehende .htaccess oder web.config Dateien anzuwenden, da diese Dateien nicht automatisch aktualisiert werden können.
Änderungen in der .htaccess
'For Apache Web Servers' Folgende Zeilen einfügen vor ## Mod_rewrite in use:
<IfModule mod_headers.c> Header always set X-Content-Type-Options "nosniff" </IfModule>
Änderungen in der web.config
For Microsoft IIS Web Server Folgende Zeilen einfügen direkt nach </rewrite>:
<httpProtocol> <customHeaders> <add name="X-Content-Type-Options" value="nosniff" /> </customHeaders> </httpProtocol>
Changes for Nginx
For Nginx Web Server In case you are using Nginx webserver, add the following parameter under the server block in your Nginx configuration /etc/nginx/nginx.confː
http { add_header X-Content-Type-Options nosniff; }