Joomla 3.9.3 beveiligingsberichten
From Joomla! Documentation
.htaccess en web.config beveiligingsupdate
Sinds Joomla 3.9.3 wordt Joomla uitgeleverd met extra veiligheid verbeteringen in de standaard htaccess.txt en web.config.txt bestanden. Deze verbeteringen maken de zogenaamde MIME-type sniffing functie in webbrowsers onmogelijk. Het sniffing leidt tot specifieke aanvalsvectoren, waarbij scripts in normaliter onschuldige bestandsformaten (bijvoorbeeld afbeeldingen) uitgevoerd worden, wat leidt tot Cross-Site-Scripting kwetsbaarheden. Het Joomla Security Strike Team raadt aan de noodzakelijke wijzigingen handmatig aan te passen in bestaande .htaccess of web.config bestanden, aangezien deze bestanden niet automatisch aangepast kunnen worden.
Wijzigingen voor de .htaccess
'Voor Apache Web Servers' Voeg de volgende regels toe voor ## Mod_rewrite in use:
<IfModule mod_headers.c> Header always set X-Content-Type-Options "nosniff" </IfModule>
Wijzigingen voor web.config
Voor Microsoft IIS Web Server Voeg de volgende regels toe direct na </rewrite>:
<httpProtocol> <customHeaders> <add name="X-Content-Type-Options" value="nosniff" /> </customHeaders> </httpProtocol>
Wijzigingen voor Nginx
Voor Nginx Web Server Voeg, als u een Nginx webserver gebruikt, de volgende parameter toe onder het server block in uw Nginx configuratie /etc/nginx/nginx.conf:
http { add_header X-Content-Type-Options nosniff; }