[GELÖST] Hilfe nach Update von 7.23 -> 7.24 :: Private files directory - > Not fully protected
Eingetragen von admindrupal (347)am 21.11.2013 - 14:23 Uhr in
Hallo, ich habe heute das Update 7.24 herunter- und auf den Server geladen. update.php ausgeführt.
Doch wenn ich den Statusbericht von Drupal aufrufe, bekomme ich drei Fehlermeldungen. Wer kann mir helfen, denn mir scheint ich stehe auf dem Schlauch oder kapiere es einfach nicht.
See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the sites/default/files/save directory to help protect against arbitrary code execution.
Ein Bildschirmausdruck habe ich als Anlage zum besseren Verständnis beigelegt.
Danke für jeden hilfreichen Hinweis.
Beste Grüße
Thomas
| Anhang | Größe |
|---|---|
| core7.24.jpg | 42.62 KB |
- Anmelden oder Registrieren um Kommentare zu schreiben
Hallo Thomas, eine neue
am 21.11.2013 - 14:54 Uhr
Hallo Thomas,
eine neue .htaccess anlegen mit folgenden Inhalt wie oben im Link beschrieben, siehe Muster im grauen Kasten.
in sites/default/files die jetzige .htaccess ersetzen, wenn keine vorhanden, dann erstellen.
in deinem private files ordner ebenso
im /tmp Ordner (den gab es bei mir vorher nicht) ebenfalls ersetzen oder erstmal einen tmp Ordner anlegen, falls du auch keinen findest, und den Pfad unter admin/config/media/file-system anpassen.
Viele Grüße Jenna
Hallo Jenna, danke für deinen
am 21.11.2013 - 15:05 Uhr
Hallo Jenna, danke für deinen Beitrag. Ich bin scheinbar zu dumm oder verstehe es nicht.
könntest du mir bitte zeigen, was in der .htaccess stehen muss?
Hier
am 21.11.2013 - 15:10 Uhr
Hier https://drupal.org/SA-CORE-2013-003
ganz nach unten scrollen, dort sind 2 graue Kästchen, der erste für Drupal 6, der untere für Drupal 7, den Inhalt in deine .htaccess kopieren.
Grüße Jenna
ja, das hatte ich schon
am 21.11.2013 - 15:21 Uhr
ja, das hatte ich schon gemacht. Ich habe nachstehendes in jede .htaccess kopiert:
# Turn off all options we don't need.
Options None
Options +FollowSymLinks
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>
# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
Ich lösche den Cache starten den Cron und wenn ich die Statusmeldung aufrufe bekomme ich die gleiche Fehlermeldung wie am Anfang des Problems beschrieben.
Hast du noch eine Lösung, wonach ich schauen muss?
Wenn du jetzt deine .htaccess
am 21.11.2013 - 15:33 Uhr
Wenn du jetzt deine .htaccess unter sites/default/files öffnest, stehen die Änderungen auch wirklich drin?
(das gilt auch für die anderen .htaccess)
Mehr ist da nicht zu machen, das muß so gehen oder du bist im falschen Ordner.
Grüße Jenna
so jenna, danke für deine
am 21.11.2013 - 15:46 Uhr
so jenna, danke für deine Hilfe, also
sites/default/files/save
sites/default/files/
dort steht .htaccess drin und im Statusbericht werden für diese Verzeichnisse keine Fehlermeldungen mehr angezeigt.
die .htaccess ist auch im /tmp verzeichnis enthalten. trotzdem erhalte ich noch wie eingangs meines problems beschrieben, diese fehlermeldung.
Was ist der Fehler?
Ich habe unter Dateisystem
am 21.11.2013 - 16:13 Uhr
Ich habe unter Dateisystem den Pfad von /tmp auf tmp (ohne Slash) geändert, aber bei mir liegen alle Drupal Ordner im Root Verzeichnis des FTP Servers, dort liegt jetzt ebenfalls tmp.
Mit Slash vor tmp habe ich auch diesen Error, warum weiß ich nicht, vorher war das ja immer so, jedenfalls funktioniert es nun.
Wenn du dir also einen tmp (oder eigenen Dateinamen) im vermutlich Root Bereich anlegst, zumindest so, das dieser Ordner nicht über das Internet erreichbar ist, und den Pfad darauf setzt, sollte es funktionieren.
Grüße Jenna
Hilfe nach Update von 7.23 --> 7.24
am 22.11.2013 - 07:12 Uhr
Ich habe die Fehlermeldung folgendermaßen beheben können:
Folgende Pfadeinstellungen sind in meinem System vorhanden unter:
admin/config/media/file-system
Pfad des öffentlichen Dateisystems: sites/default/files
Temoräres Verzeichnis: sites/default/files/tmp
Diese beiden Verzeichnisse müssen logischerweise per ftp angelegt werden
bzw. bereits vorhanden sein.
Jetzt 1 neue .htaccess Dateie anlegen wie im Beitrag von
admindrupal v. 21.11.13 beschrieben.
Diese .htaccess Datei per ftp 1x nach / sites/default/files und 1x auch
nach sites/default/files/tmp hochladen und event. vorhandene .htaccess
überschreiben. Danach den cache leeren.
Bei mir war die Fehlermeldung im Statusbericht dann weg.
Gruß Hartmuth
So es hat damit funktioniert.
am 22.11.2013 - 08:53 Uhr
So es hat damit funktioniert. Ich bedanke mich an dieser Stelle ganz lieb bei Jenna sowie bei Hartmuth für ihre Hilfen und Unterstützung.
Meldung leider nicht wegzubekommen SA-CORE-2013-003 - Drupal ...
am 21.03.2018 - 22:03 Uhr
Hallo beisammen,
die Meldung "SA-CORE-2013-003 - Drupal core - Multiple vulnerabilities" fällt mir nach dem Update auf Version 7.57 auf.
Alle Hilfestellungen in dc schlagen bisher nicht an - die Meldung bleibt ! Bin etwas ratlos !
vG Michael
Hallo Michael, ich muss
am 22.03.2018 - 21:47 Uhr
Hallo Michael,
ich muss entschuldigen, ich bin schon seit 4 Jahren aus dem Drupal-Projekt heraus.
Schau dir mal die Webseite an, vielleicht kannst du daraus etwas nehmen
https://www.drupalcenter.de/node/48899
www.drupal,org/.....
https://drupal.stackexchange.com/...
Tut mir leid, aber ich hoffe du kannst damit geholfen werden.
Danke Thomas, schaue ich mir an
am 22.03.2018 - 22:03 Uhr
Danke Thomas für die erneute Unterstützung,
ich schaue mir die Links an und teste weiter !
Beste Grüße
Michael
michoe schrieb Danke Thomas
am 22.03.2018 - 22:58 Uhr
Danke Thomas für die erneute Unterstützung,
ich schaue mir die Links an und teste weiter !
Beste Grüße
Michael
Michael, hast du auch schon einmal den Cache von Browser und Drupal gelöscht?
Das ist mir noch spontan eingefallen.
Beste Grüße
Thomas