STRATO: Create Content - Forbidden (Error 403) - CVE-2024-38474 - UnsafeAllow3F

Eric Harrer

So Lob ich mir das 👍

An diesem Beispiel sieht man mal, was es bedeutet, wenn ein Webhosting Provider auch auf dem Applikations-Level spezialisiert ist und dieses ernst nimmt. Jetzt habe ich das gute Gefühlt, dass meine Mittwald-Hostings voraussichtlich nicht kaputt gehen werden und dass eine vernünftige Lösung erarbeitet wird.

Mogens Fiebrandt

Michael P. Woher hast Du die Info zu dem Hetzner Update?
Ich konnte dazu auf offiziellen Hetzner Kanälen nichts finden.

Michael P.

Mogens Fiebrandt

Eine Ankündigungsmail bzgl. eines meiner Managed Server. Scheint also nichts "globales" zu sein.
Gruß Michael

Wolfgang Wagner

Wie müsste das denn in der htaccess aussehen, wenn man darüber UnsafeAllow3F setzen will?

Eric Harrer

Wolfgang Wagner Wenn ich die Angaben aus dem Contao-Forum auf unsere .htaccess Datei ummünze müsste es so gehen (ungetestet):

Für den Backend-Einstiegspunkt

# in v12
RewriteRule ^typo3/(.*)$ %{ENV:CWD}typo3/index.php [QSA,L]
# in v13
RewriteRule ^typo3/(.*)$ %{ENV:CWD}index.php [QSA,L]

ändern zu

# in v12
RewriteRule ^typo3/(.*)$ %{ENV:CWD}typo3/index.php [QSA,L,UnsafeAllow3F]
# in v13
RewriteRule ^typo3/(.*)$ %{ENV:CWD}index.php [QSA,L,UnsafeAllow3F]

und für Frontend-Aufrufe

RewriteRule ^.*$ %{ENV:CWD}index.php [QSA,L]

ändern zu

RewriteRule ^.*$ %{ENV:CWD}index.php [QSA,L,UnsafeAllow3F]

fritzmg

Eric Harrer sicher, dass UnsafeAllow3F überhaupt notwendig ist? Wie im Contao Forum erwähnt scheint das Problem spezifisch zur PHP-Handhabung auf den Strato Shared Hostings zu sein.

matthaa

Eric Harrer Diese Änderung in der htaccess hatte bei meinem Strato Projekt keinen Effekt.

Wolfgang Wagner

Cool, danke. Habe es gerade mal bei meinem Hoster Webgo getestet, auch hier führt UnsafeAllow3F zu einem Internal Server Error.

Ich habe mir erlaubt, mal deine Mail an Mittwald als Vorlage für meine Mail an den Webgo-Support zu nutzen ;)

Michael P.

ich habe mir auch erlaubt die Mails als Vorlage für meine Mail an Hetzner zu nutzen ;-)

Michael P.

bei Hetzner darf dann wohl gff. der Flag gesetzt werden:

_Sehr geehrter Herr Paulisch,

vielen Dank für Ihre Anfrage.

Es könnte im Rahmen des Fixes der Sicherheitslücke zu dem beschriebenen Problem kommen. Genauere Erfahrungswerte, ob und wie häufig solche Probleme auftreten, haben wir derzeit allerdings nicht.

Grundsätzlich können Sie bei Bedarf das "UnsafeAllow3F" Flag setzen, falls dieses benötigt wird.
Bitte beachten Sie, dass es hierbei jedoch möglicherweise zu Sicherheitslücken in Ihrem Account kommen könnte.

Bitte lassen Sie uns wissen, falls wir Ihnen weiter behilflich sein können._

Eric Harrer

fritzmg nein, ich bin mir hierzu tatsächlich aktuell nicht(mehr) sicher, seit ich den Beitrag im Contao Forum gelesen habe. Ich muss aber auch zugeben, dass ich mich noch zu wenig mit dem erforderlichen Server-Part (etwa den auf Webhosting-Seite erforderlichen RewriteRules) auskenne, um die Zusammenhänge fundiert bewerten zu können.

Ich hoffe jetzt mal darauf, dass nach den laufenden Gesprächen zwischen Webhosting Providern und TYPO3 eine entsprechende Stellungnahme zu diesem Thema kommt, die die noch offenen Fragen klären wird und eventuelle Misskonfigurationen auf der Webshosting-Seite aufdeckt.

Eric Harrer

Eric Harrer Zitat Oliver Hader (übersetzt aus dem Englischen):

Basierend auf unserer Analyse einer Webserver-Umgebung unter Apache 2.4.61 ist der Betrieb von TYPO3 in Bezug auf CVE-2024-38474 nicht betroffen. Die von TYPO3 standardmäßig bereitgestellte htaccess-Konfiguration wird von Apache nicht blockiert, und auch die Verwendung des neuen UnsafeAllow3F-Flags scheint unnötig zu sein.

Ok, also bleibt nun die Frage offen, was bei STRATO dann anders läuft. Ich selbst habe keine STRATO-Hosting (mehr). Könnte jemand der Betroffenen hier weitere Details zur Betroffenen Umgebung im Forge Ticket teilen?

fritzmg

Eric Harrer Eindeutig analysieren kann das im Endeffekt nur die Technik von Strato. Auf die Apache Conf der Shared Hostings haben wir ja natürlich keinen Zugriff und können daher nur Black Box Tests von außen machen (siehe auch die letzten Posts im Contao Forum, wo man den Fehler ganz ohne .htaccess reproduzieren kann).

Man kann nur hoffen, dass Strato das selbst analysiert. Meine Vermutung ist aber, dass das nun eine Limitation von deren PHP-Setup ist, die nicht so einfach geändert werden kann. Soweit wir das bisher beobachten konnten nutzt Strato kein klassisches PHP-FPM Setup sondern führt den PHP-Parser anders aus (kA. ob es ein reines CGI Setup ist). Deren Setup führt unter Anderem auch dazu, dass das korrekte System Temp Directory für PHP bspw. nur über den Web-Prozess korrekt gesetzt wird, aber auf der Konsole fehlt.

fritzmg

matthaa Bei Strato Shared Hostings sollte die Verwendung von UnsafeAllow3F zu einem Fehler (500) führen, da das nicht erlaubt ist.

matthaa

fritzmg ja, dachte ich auch, aber noch nichtmal das.

Eric Harrer

Da TYPO3 mittlerweile nachgewiesen hat, dass es sich nicht um ein grundsätzliches Problem im Zusammenspiel von TYPO3 und Apache 2.4.60+ handelt, möchte ich hier nochmal betonen, dass der richtige Adressat für betroffene STRATO-Kunden STRATO selbst ist.

Das TYPO3 Core-Team hat heute, vermutlich auch wegen dieses Threads, mehrere Anfragen bearbeiten müssen.
Diese sollten bitte künftig an STRATO gehen.

Just Webdesign Berlin

Hallo zusammen,

meine Typo3-Kunden waren ebenfalls von dem hier beschriebenen Problem betroffen. Hier eine mögliche Lösung, die bei meinen Kunden funktioniert hat:

Einloggen bei Strato
Sicherheit -> Gästebuch-Spam Einstellungen
Filter deaktivieren

FERTIG!

Bitte gebt mir ein Feedback, ob es bei Euch auch funktioniert hat. Danke.

matthaa

Just Webdesign Berlin Tatsächlich, das funktioniert bei mir auch. Danke für den Hinweis.

bach

Just Webdesign Berlin Ich wollte eben auch deinen Fix ausprobieren und wollte vorher nochmal den Fehler erzeugen. Da hat es bei mir eben plötzlich auch wieder funktioniert. Also ohne den Gästebuch-Spam Filter zu deaktivieren.

pamsta

Just Webdesign Berlin das hat bei allen Typos funktioniert. DANKE!

Phil_Fro

Just Webdesign Berlin Ich glaub es liegt nicht daran, bei meinen instanzen geht es jetzt auch ohne diese Einstellung, dafür wurden bei diesen der Apache aktualisiert.

Alter Wert: Apache/2.4.59 (Unix)
Neuer Wert: Apache/2.4.61 (Unix)

Denke das ist eher der Grund.

R-Beck

Super, es hat tatsächlich funktioniert. Vielen Dank für die Information.

« Vorherige Seite Nächste Seite »

Unterstütze das Forum

Hilf mit, den Community Hub für TYPO3 werbefrei zu halten und die Betriebskosten zu decken. Werde Official Community Hub Supporter für nur 5 Euro im Monat (zzgl. USt) und erhalte ein exklusives Supporter-Badge. Jeder Beitrag zählt!

Jetzt Supporter werden

Impressum - Datenschutz - Kontakt - Netiquette - RSS