[3.3](ERLEDIGT) Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato

IMC · Beitrag von **IMC** » 16.07.2024 22:45

Bei Stack Overflow ist dies Problem beleuchtet worden.
https://stackoverflow.com/questions/787 ... afeallow3f

Anscheinend muss der RewriteRule nur das Flag UnsafeAllow3F hinzugefügt werden, wie in den von Bruno zitierten "Fixed in Apache HTTP Server 2.4.61" bereits erwähnt.

Beitrag von **LukeWCS** » 16.07.2024 23:26

Mir ist es leider nicht gelungen, das Problem reproduzieren zu können. Also entweder da muss noch eine andere Bedingung erfüllt sein, oder aber man hat bei 2.4.61 das Ganze schon wieder geändert, weshalb ich das gar nicht nachvollziehen kann. Und die 2.4.60 ist bei Wampserver auch gar nicht (mehr) erhältlich, so kann man das auch nicht mehr gezielt testen.

Servus Thorsten

Auf dieses Flag bin ich in der Apache Doku auch gestossen. Allerdings würde man damit - nach meinem Verständnis - den Security Fix gleich wieder totlegen/umgehen, das ist auch nicht so das Wahre.

Das hier ist mir unklar:

IMC hat geschrieben: 16.07.2024 22:45 wie in den von Bruno zitierten "Fixed in Apache HTTP Server 2.4.61" bereits erwähnt.

Wo hast du das gelesen? Weil in Brunos Beitrag steht nichts von 2.4.61, da ist nur von 2.4.60 die Rede. Und das Flag hat man wohl schon bei 2.4.60 eingeführt, jedenfalls wenn ich das Changelog richtig verstehe.

IMC · Beitrag von **IMC** » 16.07.2024 23:49

LukeWCS hat geschrieben: 16.07.2024 23:26 Wo hast du das gelesen? Weil in Brunos Beitrag steht nichts von 2.4.61, da ist nur von 2.4.60 die Rede.

Hier habe ich den Text gefunden:
https://httpd.apache.org/security/vulne ... es_24.html

Jetzt sehe ich, dass ich die Überschriften verwechselt habe.

Steve Wuppertal · Beitrag von **Steve Wuppertal** » 17.07.2024 08:30

Bei Strato läuft:

Code: Alles auswählen

$_ENV['SERVER_SOFTWARE']	Apache/2.4.59 (Unix)

69bruno · Beitrag von **69bruno** » 17.07.2024 09:33

Chris, Du hast ja eine Fehlermeldung, die genau dem Apache.org-Hinweis entspricht.
Schau doch mal in die .htaccess, ob da eine rewrite rule drin ist. Die müsste nach folgendem Schema durch das UnsafeAllow3f ergänzt werden.

Code: Alles auswählen

RewriteRule ^blabla [L,UnsafeAllow3F]

Und versuch bitte die unterste .htacces zu nehmen (im Errorlog sollte das entsprechende Directory genannt sein)

chris1278 hat geschrieben: 16.07.2024 05:31 also ich hab mir mal das error.log angeschaut und da finde ich immerwieder solche einträge:
Code: Alles auswählen
16.07.2024 09:03:22 euro-neco.de [client 2a02:8108:1500::] AH10508: Unsafe URL with %3f URL rewritten without UnsafeAllow3F

Vielleicht haben wir hier auch mehrere Probleme, die dieselbe oder eine ähnliche Fehlermeldung auslösen.

chris1278 · Beitrag von **chris1278** » 17.07.2024 10:43

Bruno das war der letzte eintrag.

69bruno · Beitrag von **69bruno** » 17.07.2024 11:16

Das heißt ? Es gibt keine Directory-Angabe im Errorlog ?
Das ist nicht schön, weil man dann, um die Lösung testen zu können alle .htaccess-Dateien (mit rewrite rule) mit dem UnsafeAllow3F versehen müsste.

Oder aber, ein Serverspezialist lehrt mich eines Besseren. Mein Verständnis von .htaccess-Datein geht in die Richtung:
- Bei jedem Seitenaufruf werden die .htaccess-Dateien linear eingelesen. Bei phpBB3 wäre das dann die erste im Forenroot, dann das nächste Verzeichnis, dann das übernächste, bis man im Verzeichnisbaum im Verzeichnis des akiven documents gelandet ist.
- Die Regeln einer .htaccess werden nicht zwischengespeichert, also gilt immer die letzte Regel (der untersten .htaccess)(Nicht wiederholte/neugeregelte Regeln gelten fort)
- Hat man also z.B. im Forenroot das Flag UnsafeAllow3F gesetzt, aber nicht in der nächsten oder übernächsten .htaccess (aber eine rewrite rule drin), wird der Fehler nicht behoben....

Oder ?

chris1278 · Beitrag von **chris1278** » 17.07.2024 11:24

Ich weis nicht ob ich mich zu weit aus dem fenster lege weil ich auch nicht wirklich weiss aber eigentlich müsste man nur die htaccess im forenroot anpassen.

69bruno · Beitrag von **69bruno** » 17.07.2024 11:28

Das stimmt meines Wissens nur, wenn in keinem darunterliegenden Verzeichnis (in der Linie zum aktiven Document) eine weitere .htaccess ist, die eine rewrite rule hat.

chris1278 · Beitrag von **chris1278** » 17.07.2024 11:34

Ich habe mal das standard verzeichnis des installations archive 3.3.12 untersucht.

Wenn ich das richtig sehe gibt es nur eine aktive rewrite rule und zwar bei der htaccess in dem foren rute. das wäre diese:

Code: Alles auswählen

RewriteRule ^(.*)$ app.php [QSA,L]

Was natürlich auch den komischen installations aufruf erklären würde.

Wenn ich das testweise als blank neu installieren will kommt immer:

https://deinedomain.de/install/install/ ... ../app.php

phpBB.de

[3.3](ERLEDIGT) Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato

Re: [3.3] Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato/ModSecur

Re: [3.3] Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato/ModSecur

Re: [3.3] Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato/ModSecur

Re: [3.3] Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato/ModSecur

Re: [3.3] Moderations Probleme nach update

Re: [3.3] Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato/ModSecur

Re: [3.3] Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato/ModSecur

Re: [3.3] Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato/ModSecur

Re: [3.3] Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato/ModSecur

Re: [3.3] Moderations Probleme nach update (Forbidden You don't have permission to access this resource) Strato/ModSecur