Что делать после обновления безопасности TYPO3 от 13.09.2016?

Question

Я не понимаю патча безопасности с прошлой недели: https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-022/. У меня есть старая установка TYPO3 6.2. Я усекал все таблицы cf_ * и открыл страницы с UID 2-6. Нет. В результате я вижу 13 cf_cache_hash-записей. Теперь я открыл страницу с подробной информацией на странице списка в интерфейсе. Я вижу некоторые параметры в URL, такие как действие, контроллер, UID текущей отображаемой записи и причина cHash. Затем я скопировал эти параметры (исключая id = x) в URL-адрес моих страниц 2-6. В cf_cache_hash у меня еще 13 записей. Таким образом, нет заливки кэша.

Или как я должен интерпретировать эту цитату:

Связь с действительным cHash аргумент приводит к вновь созданной кэшу страниц записей. Поскольку cHash не привязан к определенной странице, злоумышленники могут использовать допустимые аргументы CHash для нескольких страниц, что приводит к дополнительным ненужным страницам кэша страниц.

Следующая проблема:

Если расширения, такие как RealURL используются, необходимо промыть их кэши (и TYPO3 кэширует а)

Можете ли вы сказать мне, какие таблицы I/мы должны очистить?

• tx_realurl_urldecodecache
• tx_realurl_urlencodecache

, может быть, OK. Но как насчет tx_realurl_pathcache? Из-за этого я могу это понять, но как насчет старых записей для более ранней конфигурации realurl? Если я усекаю эту таблицу, эти старые записи больше недействительны, и они не были построены снова. Таким образом, старые результаты поиска недействительны.

Вопрос от одного из наших клиентов: достаточно ли очистить системный кеш в бэкэнд или нажать «Очистить весь кеш в Installtool»? Ницца. IMO, этого недостаточно, и таблицы должны быть усечены непосредственно на БД. Правильно.

Следующая один:

Это означает, что если такие адреса индексируются поисковой системой, посетители из этот поисковик будет в конечном итоге на не работает нормально странице.

Эй, круто. И сейчас? Каково решение? Держите это как есть? IMO зависит от установки InstallTool: pageNotFoundOnCHashError. Правильно?

Пожалуйста, сообщите нам, что делать, и, пожалуйста, добавьте более подробную информацию, как с этим справиться.

Стефан

Answer 1

Для меня это сводится к (после установки обновленной версии TYPO3):

Если вы не используете RealUrl: включить

$GLOBALS['TYPO3_CONF_VARS']['FE']['cHashIncludePageId'] = true; 

& и вы, вероятно, " сделанный". Конечно, все старые хиты google будут выполнены, но на «общедоступном» сайте довольно вероятно, что вы никогда не заботились о google, если вы не запускали realurl (или подобное)

Если вы используете realurl 1.X on 6.2

не включайте конфигурации (там, наверное, никогда бы правильный патч)

Два варианта:

1. принять риск DDOS
2. использовать 1.x версия от https://github.com/mogic-le/typo3-realurl Если я правильно понимаю, он установит TYPO3 в режим no_cache, если нет никакого удара по таблице кеширования; Несмотря на то, что проблема производительности, это предотвратит кэш записей таблицы делается (как побочный эффект)

Если запустить 7.6+ и RealUrl 2

1. Ожидать RealURL 2,1 (и взять на себя риск ?)
2. Изменить кэширование рамки на что-то вроде Memcached (это несколько предложило между строками: Если у вас есть бэкэнд кэширования, который не может быть использован для DDOS, вы действительно не должны заботиться)
3. Используйте f орк из helhum (хотя я думаю, что не будет помогать Вам один бит относительно старых ссылок)

Answer 2

RealUrl> = 2.1.0 поддерживает эту опцию ядра. Но вам рекомендуется обновить, по крайней мере, до 2.1.4, поскольку это исправляет различные другие проблемы cHash.