Substitution encoding issue in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows attacker to execute scripts in directories permitted by the configuration but not directly reachable by any URL or source disclosure of scripts meant to only to be executed as CGI.
Users are recommended to upgrade to version 2.4.60, which fixes this issue.
Some RewriteRules that capture and substitute unsafely will now fail unless rewrite flag "UnsafeAllow3F" is specified.
Also zusammengefasst: Es wurde eine Sicherheitslücke entdeckt die im Zusammenhang steht mit "encodierten Fragezeichen". Diese sind codiert "%3F". Die URL für z.B. Neue Beiträge enthält ein Fragezeichen und die "Action URL", also genutzte URL für das Login-form wird sozusagen im Hintergrund dann codiert und als /neue?destination=neue%3Ftype%3DAll eingefügt. Siehe hier:
Zur Behebung der Sicherheitslücke durch die Nutzung von codierten Fragezeichen wurden wohl eben diese codierten Fragezeichen verboten. Die Sicherheitslücke ist wohl also zu, die Funktion damit aber auch. Ergebnis: Der Nutzer erhält die Anwort "Forbidden".
Behebungsmöglichkeiten sind vermutlich:
Unischeres Zeichen erlauben -> Nicht empfohlen, da halt unsicher.
Codierung in der action URL ändern -> Keine Ahnung ob das möglich ist, ich kenne mich nicht mit Drupal aus.
Hallo Dennis,
ääääääh, ja nee iss klar !!!! Das übertrifft bei weitem, um nicht zu sagen Kilometern, meine PC -Kenntnisse. Aber trotzdem Danke für deine Hilfe.
Werde da erstmal bei dem von Bernhard vorgeschlagenen Weg bleiben und hoffen, dass das so klappt.
Viele Grüße aus dem Münsterland
Hey,
der "technische Part" war auch eher eine Information an die Admins hier. Du hattest aber nach dem weshalb gefragt
Der für dich und andere User wichtige Part ist sich von einer "freien" URL wie der Hauptseite/aktuelles anzumelden.
STRG+F5 löscht halt ebenfalls den sogenannten Cache, sollte es trotzdem mal nicht funktionieren.
VG
Dennis
Hallo nochmal,
es scheint als käme das Problem aus dieser Richtung: CVE-2024-38474
Dazu auch der Hinweis von Apache selbst:
Also zusammengefasst: Es wurde eine Sicherheitslücke entdeckt die im Zusammenhang steht mit "encodierten Fragezeichen". Diese sind codiert "%3F". Die URL für z.B. Neue Beiträge enthält ein Fragezeichen und die "Action URL", also genutzte URL für das Login-form wird sozusagen im Hintergrund dann codiert und als /neue?destination=neue%3Ftype%3DAll eingefügt. Siehe hier:
Zur Behebung der Sicherheitslücke durch die Nutzung von codierten Fragezeichen wurden wohl eben diese codierten Fragezeichen verboten. Die Sicherheitslücke ist wohl also zu, die Funktion damit aber auch. Ergebnis: Der Nutzer erhält die Anwort "Forbidden".
Behebungsmöglichkeiten sind vermutlich:
Unischeres Zeichen erlauben -> Nicht empfohlen, da halt unsicher.
Codierung in der action URL ändern -> Keine Ahnung ob das möglich ist, ich kenne mich nicht mit Drupal aus.
VG
Dennis
Hallo Dennis,
vielen Dank für deinen ausführlichen Kommentar hierzu.
Ich verstehe nur Bahnhof, bin aber sicher, dass unsere Tech Admins dies auch lesen und ggf. eine Rückmeldung hierzu geben.
Liebe Grüße
Elli
Scout Womo-Abenteuer.de