STRATO: Create Content - Forbidden (Error 403) - CVE-2024-38474 - UnsafeAllow3F

matthaa

Just Webdesign Berlin Tatsächlich, das funktioniert bei mir auch. Danke für den Hinweis.

R-Beck

Super, es hat tatsächlich funktioniert. Vielen Dank für die Information.

bach

Just Webdesign Berlin Ich wollte eben auch deinen Fix ausprobieren und wollte vorher nochmal den Fehler erzeugen. Da hat es bei mir eben plötzlich auch wieder funktioniert. Also ohne den Gästebuch-Spam Filter zu deaktivieren.

pamsta

Just Webdesign Berlin das hat bei allen Typos funktioniert. DANKE!

Phil_Fro

Just Webdesign Berlin Ich glaub es liegt nicht daran, bei meinen instanzen geht es jetzt auch ohne diese Einstellung, dafür wurden bei diesen der Apache aktualisiert.

Alter Wert: Apache/2.4.59 (Unix)
Neuer Wert: Apache/2.4.61 (Unix)

Denke das ist eher der Grund.

matthaa

Phil_Fro Korrelation ist nicht gleich Kausalität, wie sich hier wieder mal zeigt ;-)

fritzmg

Auch das Apache Update ist nicht dafür verantwortlich - 2.4.61 war schon länger bei Strato im Einsatz, also zumindest auch noch heute zu einem Zeitpunkt, wo der Fehler noch auftrat.

Strato hat die eigene Config wohl nun geändert, um das Problem zu beheben. Ich vermute die Beschwerden durch Kunden waren dann doch überwiegend.

Phil_Fro

fritzmg vermutlich hast du recht, unsere monitore hatten die Apache Umstellung schon heute mittag verkündet. Kurz danach konnte die Kunden aber immer noch nicht im TYPO3 fehlerfrei arbeiten, scheint dann doch eine Anpassung seitens Strato am Abend gewesern zu sein.

Just Webdesign Berlin

Wirklich Licht ins Ganze könnte wohl nur Strato bringen. Allerdings haben diese Gästebuch-Spam Einstellungen in der Vergangenheit schon öfter für von aussen unerklärliche Probleme gesorgt. Das war auch der Grund, warum das mein erster Ansatz war. Kann natürlich auch Zufall wesen sein, dass Strato in genau diesen 30 Sekunden der Umstellung das Problem gefixed hat. Aber ich gehe mal davon aus, dass niemand von Euch genau weiß, was diese Einstellung genau bewirkt, oder?

matthaa

Just Webdesign Berlin Beim Shared Hosting ist man eben auf einen kompetenten und hilfsbereiten Support angewiesen. Da es den nicht immer gibt ist gut, dass man auf eine aktive TYPO3 Community zählen kann.

Eric Harrer

@matthaa kurze Frage: Das ist mittlerweile vermutlich nur noch Formsache aber du hattest gestern ohne Begründung im Forge Ticket die TYPO3 Ziel-Version auf 12 geändert. Vor dir hatte jedoch Markus Klein bereits mit Begründung die Ziel-Version auf 6.2 angepasst. Handelte es sich hier um ein Missverständnis oder gab es einen Grund für die Anpassung? In letzterem Fall würde ich mich über einen kurzen Kommentar zu der Anpassung im Ticket freuen, um Missverständnisse aus dem Weg zu räumen.

matthaa

Eric Harrer meinen Beitrag im Forge wollte ich eigentlich komplett wieder löschen, aber es blieb sozusagen der Rahmen stehen. Ich habe nun dort auf die Diskussion zu diesem Thema hier verlinkt. Hoffe das passt so.

Eric Harrer

matthaa ok, den Link zu diesem Thread hatte Oliver Hader ja schon im Ticket mitgeteilt. Hauptsache die dort angegebene Ziel-Version hat nun wieder einen begründeten Hintergrund 😉 Wäre ja schade diese Information zu verlieren, wenn sich schon jemand die Mühe gemacht hat es speziell mit 6.2 zu testen.
Ich würde jetzt aber keine weiteren Anpassungen mehr vornehmen. Schließlich werden alle "Watcher" per Mail über die Anpassung informiert.
Danke dir für die Anpassung.

Willi

Ich kann als einfacher Admin und mehrfacher Strato-Kunde nur bestätigen, dass bis 17.Juli tagsüber bei uns Apache 2.4.59 und nun 2.4.61 aktiv ist. Nun hab ich auch wieder Zugriff auf die Edit-Funktionen. Ich verwende die Typo 3 Version 11.5.38 und müsse demnach auch auf dieser Seite aktuell sein.

Eric Harrer

Bei WordPress konnte man das Thema nun auch zu den Akten legen ☺️
https://core.trac.wordpress.org/ticket/61673

fritzmg

Strato hat mittlerweile wieder etwas an der Config geändert. URLs mit %3F funktionieren nun wieder nicht - es sei denn es kommt im Query Parameter vor. Also:

erlaubt: example.com/?foo=%3F
nicht erlaubt: example.com/%3F

Wenn man also ein Fragezeichen in seinem URL Pfad hat, geht das bei Strato nicht (mehr).

Eric Harrer

fritzmg letzteres kommt m.W.n. ja bei TYPO3 nicht vor oder? Kannst du bestätigen dass das öffnen des New Content Element Wizards trotzdem noch funktioniert?

fritzmg

Ich kenne nur Contao - Typo3 ist schon lange her 😁. Ich gehe nicht davon aus, dass das für das Typo3 Backend relevant ist. Im Frontend könntest du aber natürlich irgendwo so einen Pfad haben (wenn auch unwahrscheinlich).

Eric Harrer

fritzmg
In TYPO3 13 sieht die Anfrage beim öffnen des Wizards so aus:

GET /typo3/record/content/wizard/new?token=b9b847eee80e7fc4532e31373d63136864946d44&id=1&sys_language_uid=0&colPos=0&uid_pid=1&returnUrl=/typo3/module/web/layout?token%3Dde942eab0b32aa67875651afb267f984ccfe3f97%26id%3D1 HTTP/2

In TYPO3 12 ebenso:

GET /typo3/record/content/wizard/new?token=32413f740d086402c5e5676daf010c3185122072&id=1&sys_language_uid=0&colPos=0&uid_pid=1&returnUrl=/typo3/module/web/layout?token%3Ddbfa3a7d7db273bab3868ae2ec96d487222df8e6%26id%3D1 HTTP/2

und in TYPO3 11 sah sie noch so aus:

GET /typo3/record/content/wizard/new?token=8582cc4e1efeae03e64ab4da6cd146c6d88004ce&id=1&sys_language_uid=0&colPos=0&uid_pid=1&returnUrl=%2Ftypo3%2Fmodule%2Fweb%2Flayout%3Ftoken%3Dc42f60fdc37d90fc4a31440af51e5b3543fb1bdc%26id%3D1 HTTP/2

In beiden Fällen haben wir den erlaubten Zustand, die Backend-Funktionalität sollte also im TYPO3-Backend nicht eingeschränkt sein.

Im Frontend ist es schon gar nicht möglich nicht erlaubte URLs zu definieren. Das Verhindert bereits der Slug Handler:

R-Beck

Ich habe heute folgende Mitteilung von STRATO erhalten und hatte in Bezug auf Typo3 angefragt. Die Antwort bezieht sich jedoch auf WordPress. Als Nicht-Experte verstehe ich nur "Bahnhof und umsteigen", aber vielleicht ist die folgende STRATO-Aussage für die Forengemeinschaft interessant.

Zitat: "Gerne möchte ich Ihnen mitteilen, dass wir die genannte Einschränkung mit curl https://superclassics.eu/?s=%3F nochmals getestet haben. Das Problem wurde auch in den RewriteRules getriggert, die unsere SSL-Proxies zum Forward an die Backend-Webserver verwenden. Die SSL-Proxies sind jetzt aktualisiert und das spezifische WordPress-Suchproblem ist behoben.

Das bedeutet jedoch nicht, dass in Ihren .htaccess-Dateien nicht weiterhin ähnliche Probleme auftreten können. Ein Teil der WordPress-spezifischen Meldungen sollte sich damit aber erledigt haben."

« Vorherige Seite

Unterstütze das Forum

Hilf mit, den Community Hub für TYPO3 werbefrei zu halten und die Betriebskosten zu decken. Werde Official Community Hub Supporter für nur 5 Euro im Monat (zzgl. USt) und erhalte ein exklusives Supporter-Badge. Jeder Beitrag zählt!

Jetzt Supporter werden

Impressum - Datenschutz - Kontakt - Netiquette - RSS