[Tophost]

Nei diversi nodi web e' stata applicata un'impostazione di sicurezza dove nei file .htaccess viene negato l'utilizzo della direttiva FollowSymLinks al posto della piu' sicura SymLinksIfOwnerMatch.

Abbiamo riscontrato che questa nuova impostazione di sicurezza va in conflitto con la caratteristica "URL SEMPLIFICATI" di Drupal causando alcuni malfunzionamenti.

Per ripristinare il corretto funzionamento di un sito web con Drupal va disattivata la caratteristica "URL SEMPLIFICATI", in "AMMINISTRA" e "CONFIGURAZIONE DEL SITO" di Drupal.

E' anche indispensabile modificare il file ".htaccess", commentando le istruzioni followsymlink e rewriteengine, anteponendo un cancelletto davanti ad esse, come segue:

Codice:

# Options +FollowSymLinks
.
.
.
# RewriteEngine on

Abbiamo scritto alla Community di Drupal, segnalando il problema di sicurezza che comporta FOLLOWSYMLINKS negli hosting condivisi e proponendo il supporto a SYMLINKSIFOWNERMATCH.

Speriamo vivamente che questo problema venga risolto, visto che tutti i provider che offrono l'hosting condiviso e permettono il FOLLOWSYMLINKS hanno una falla di sicurezza grave.

Buona giornata.

[Tophost]

Per il fatto che questa impostazione impatta con il funzionamento degli url semplificati di Drupal, abbiamo scritto al security team di Drupal che ci ha detto di inserire un public issue; cosa che abbiamo fatto subito.

http://drupal.org/node/656022

http://www.tophostlive.it

[Tophost]

Salve a tutti, abbiamo trovato una soluzione al problema e l'abbiamo anche inviata alla community di Drupal.

Praticamente occorre tutti i fle ".htaccess" di Drupal e sostituire "FollowSymLinks" con "SymLinksIfOwnerMatch".

Ad esempio il file "/sites/default/files/.htaccess" va modificato come segue:

PRIMA:

Codice:

SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +FollowSymLinks

DOPO:

Codice:

SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +SymLinksIfOwnerMatch
# Options +FollowSymLinks

Ora tutto è ok.