J3.x

Joomla 3.9.3 beveiligingsberichten

From Joomla! Documentation

This page is a translated version of the page J3.x:Joomla 3.9.3 Security Notes and the translation is 100% complete.

Other languages:
Deutsch • ‎Ελληνικά • ‎English • ‎français • ‎italiano • ‎Nederlands • ‎svenska

.htaccess en web.config beveiligingsupdate

Sinds Joomla 3.9.3 wordt Joomla uitgeleverd met extra veiligheid verbeteringen in de standaard htaccess.txt en web.config.txt bestanden. Deze verbeteringen maken de zogenaamde MIME-type sniffing functie in webbrowsers onmogelijk. Het sniffing leidt tot specifieke aanvalsvectoren, waarbij scripts in normaliter onschuldige bestandsformaten (bijvoorbeeld afbeeldingen) uitgevoerd worden, wat leidt tot Cross-Site-Scripting kwetsbaarheden. Het Joomla Security Strike Team raadt aan de noodzakelijke wijzigingen handmatig aan te passen in bestaande .htaccess of web.config bestanden, aangezien deze bestanden niet automatisch aangepast kunnen worden.

Wijzigingen voor de .htaccess

'Voor Apache Web Servers' Voeg de volgende regels toe voor ## Mod_rewrite in use:

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Wijzigingen voor web.config

Voor Microsoft IIS Web Server Voeg de volgende regels toe direct na </rewrite>:

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>

Wijzigingen voor Nginx

Voor Nginx Web Server Voeg, als u een Nginx webserver gebruikt, de volgende parameter toe onder het server block in uw Nginx configuratie /etc/nginx/nginx.conf:

http {
  add_header X-Content-Type-Options nosniff;
}