J3.x

Joomla! 3.9.3 Sicherheitshinweise

From Joomla! Documentation

Revision as of 23:45, 16 April 2019 by FuzzyBot (talk | contribs) (Updating to match new version of source page)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Other languages:
Deutsch • ‎English • ‎Nederlands • ‎français • ‎italiano • ‎svenska • ‎Ελληνικά

.htaccess und web.config Sicherheits-Update

Seit Version 3.9.3 wird Joomla! mit zusätzlichen Sicherheitsmaßnahmen in den Standard htaccess.txt und web.config.txt Dateien ausgeliefert. Diese Maßnahmen deaktivieren die so genannte MIME-Sniffing-Funktion in Webbrowsern. Das Sniffing führt zu speziellen Angriffsvektoren mit denen Skripte in normalerweise harmlosen Dateiformaten (z.B. Bilder) ausgeführt werden können. Das führt zu Cross-Site-Scripting-Schwachstellen.

Das Joomla! Sicherheitsteam (JSST) empfiehlt dringend, die notwendigen Änderungen manuell auf bestehende .htaccess oder web.config Dateien anzuwenden, da diese Dateien nicht automatisch aktualisiert werden können.

Änderungen in der .htaccess

'For Apache Web Servers' Folgende Zeilen einfügen vor ## Mod_rewrite in use:

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Änderungen in der web.config

For Microsoft IIS Web Server Folgende Zeilen einfügen direkt nach </rewrite>:

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>

Changes for Nginx

For Nginx Web Server In case you are using Nginx webserver, add the following parameter under the server block in your Nginx configuration /etc/nginx/nginx.confː

http {
  add_header X-Content-Type-Options nosniff;
}