Am 22.05.2014 15:22, schrieb Peter Linzenkirchner:
ich versuche gerade die letzte Security Meldung zu verstehen. Darin
steht: ...
OK, wie bekomme ich jetzt raus, was bei meinen Shared hosts zutrifft?
Wenn ich das richtige verstehe, sind praktisch alle Shared Hosts name
based, aber Wissen würde ich das nicht nennen ... :-)
Weiß jemand mehr?
Nö, eher im Gegenteil: Ich habe heute Abend in mehreren Anläufen
versucht, vom Support unseres Hosters herauszubekommen, wie SERVER_NAME
gesetzt wird. Irgendwie eiern die drumherum. Ich weiß nun schon, dass es
keine virtual hosts sind, sondern: "Die Pfade werden in unserem System
auf andere Weise zugeordnet." (Wie denn nun genau?) und "Es wird daher
bei jedem Request der vom Client bereits anfragende 'ServerName' also
der Name der Domain ... zurückgeliefert.". Ist dass dann nicht der
kompromitterende host-Header? Aber man betont, dass "die genannte
Sicherheitslücke nicht in unserem Apache besteht."
Ich habe das alles nicht so recht verstanden und vertraue dem
Geschwurbel nicht so recht, obwohl ich in der Support-Anfrage auf das
Security-Bulletin verwiesen habe. Nun habe ich kurzerhand einfach die
localconf um den neuen Eintrag erweitert. Sicher ist sicher!
Peter, vielleicht hast Du ja mehr Glück bei Deinem Hoster.
Und vielleicht noch eine Frage an die Core-Devs: Lässt sich der
trustedHostsPattern-Eintrag nicht evtl. automatisch aus den
Domain-Records ableiten?
Gruß,
Jan
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
