• Hi zusammen,

    ich habe WordPress 6.6 mit woocommerce.
    Gestern ist mir aufgefallen, dass wenn ich auf WooCommerce > Produkte gehen und über die Suche nach einem Produkt suche, folgende Meldung erscheint:

    Forbidden – You don’t have permission to access this resource.

    Erst dachte ich, es wäre ein WooCommerce Problem, allerdings bekomme ich diese Meldung auch, wenn ich auf Benutzer > Administratoren gehen und hier einen Admin bearbeiten möchte.

    Habe auch testweise mal alle Plugins deaktiviert – Problem bleibt.

    Jemand eine Idee?

Ansicht von 10 Antworten – 16 bis 25 (von insgesamt 25)
  • In der verlinkten Schwachstellenbeschreibung heißt es

    Users are recommended to upgrade to [Apache2] version 2.4.60, which fixes this issue.

    (Benutzern wird empfohlen, auf [Apache2] Version 2.4.60 zu aktualisieren, die dieses Problem behebt.)

    Wieso Strato dann eine Modifikation an WordPress vornimmt, kann ich nicht nachvollziehen.

    Für mich wäre alleine die Vorgehensweise ein weiterer Grund, den Webhoster zu wechseln.

    STRATO hat keine Modifikation an WordPress vorgenommen, sondern ein Apache Update auf der Plattform eingespielt. Problem ist seit Mittwoch abend behoben.

    @grafruessel

    Danke für den Hinweis. Die Antwort des Support-Mitarbeiters scheint mir insgesamt missverständlich formuliert zu sein. „die unsichere Methode die WordPress verwendet“ und „… den Entwickler von WordPress zu Kontaktieren und Ihn auf die Schwachstelle hinzuweisen“ suggerieren, dass der Fehler bei WordPress liegt und nicht im aktualisierten Apache2-Modul mod_rewrite. Die Empfehlung „keine Modifikationen die dies umgeht umzusetzen“ ist auch nicht nachvollziehbar, wenn nicht klar ist, was da nicht umgangen werden soll. Zumal der Fehler durch das Apache2-Update behoben ist.

    Die Antwort des Support-Mitarbeiters ist nicht (nur) missverständlich formuliert sondern ergibt keinen Sinn.

    Diese [Fehlermeldung („403 Forbidden“)] rührt daher, dass eine unsichere Schwachstelle durch ein Softwareupdate in der Infrastruktur geschlossen wurde. Diese hätte es Angreifern erlaubt in Ihren Webspace einzudringen und Schadcode auszuführen.

    Mit dem „Softwareupdate in der Infrastruktur“ kann nur das Apache-Software-Update auf Version 2.4.60 gemeint sein. Also das wurde auf den Strato-Servern eingespielt und dadurch entstand die Fehlermeldung 403 Forbidden.

    So weit, so gut.

    Dies unterbindet die Kommunikation von WordPress und dessen verwendeter Methode mit dem Webserver in einigen Bereichen der WordPress Instanz.

    Bedeutet (laut CVE-2024-38474): Some RewriteRules that capture and substitute unsafely will now fail unless rewrite flag "UnsafeAllow3F" is specified.
    Zu Deutsch: „Einige Rewrite-Regeln* schlagen fehl, sofern nicht das Rewrite-Flag „UnsafeAllow3F“ angegeben ist.“
    *Einige Rewrite-Regeln bedeutet: „Rewrite-Regeln, mit unsachgemäßer Kodierung oder Escape-Sequenz der Ausgabe“ die (obwohl unsicher) durch ein entsprechendes Flag „UnsafeAllow3F“ dann doch ausgeführt werden können.

    So weit auch (und bis hierhin) nachvollziehbar.

    Aus Sicherheitsgründen werden wir die unsichere Methode die WordPress verwendet auf den Hostsystemen nicht wieder freigeben.

    Äh ja, verständlich. Aber WAS? hat Strato denn nun gemacht? Das Flag wird Strato ja wohl nicht gesetzt haben, denn das hat der Support-Mitarbeiter mit dem letzten Satz selbst verneint.

    Ein Apache-Update haben sie auch nicht (zur Behebung des 403-Fehlers) aufgespielt, sondern das Update ging dem Fehler voraus und war ursächlich.

    Tja … Mal scharf nachdenken.

    Fest steht: Strato hat einen Fehler behoben – auf ihren Servern …

    Ein Apache-Update haben sie auch nicht (zur Behebung des 403-Fehlers) aufgespielt …

    Davon war ich eigentlich ausgegangen? Zumindest hat @grafruessel das so beschrieben: „… ein Apache Update auf der Plattform eingespielt“. Im Hinweis auf die Schwachstelle wird das auch als Lösung genannt: „Users are recommended to upgrade to [Apache2] version 2.4.60, which fixes this issue.“ Vielleicht mag @chefchiller auch nochmal einen Blick in den aktuellen Website-Bericht werfen und die Version bestätigen?

    Was da jetzt genau an „den Entwickler von WordPress“ gemeldet werden soll, ist mir damit aber immer noch nicht klar.

    Sieh mal dort:
    https://forum.t3academy.de/d/507-strato-create-content-forbidden-error-403-cve-2024-38474-unsafeallow3f/30

    Nach derzeitigem Kenntnisstand wurde die Sicherheitslücke CVE-2024-38474 in Apache 2.4.60+ so „gelöst“, dass URLs mit einem kodierten Fragezeichen generell verweigert werden. Eine Praxis, die der Realität vieler Anwendungen wie TYPO3 nicht gerecht wird.

    TYPO3 ist von der ursprünglichen Schwachstelle eigentlich nicht betroffen, da die URL-Integrität ohnehin durch authentifizierte Hashes, Token usw. sichergestellt wird. Demnach könnte man für TYPO3-Installationen eigentlich das Flag UnsafeAllow3F setzen, um URLs mit einem kodierten Fragezeichen wieder zu erlauben.

    Aber genau das scheint STRATO derzeit nicht zuzulassen. Laut den Nutzern im Contao-Forum kommt es bei STRATO-Hostings zu einem Error 500, wenn dieses Flag gesetzt wird.

    Und weiter unten:

    https://forum.t3academy.de/d/507-strato-create-content-forbidden-error-403-cve-2024-38474-unsafeallow3f/61

    Auch das Apache Update ist nicht dafür verantwortlich – 2.4.61 war schon länger bei Strato im Einsatz, also zumindest auch noch heute zu einem Zeitpunkt, wo der Fehler noch auftrat.

    Strato hat die eigene Config wohl nun geändert, um das Problem zu beheben. Ich vermute die Beschwerden durch Kunden waren dann doch überwiegend.

    Ja, ist klar, ne? Aber Typo 3, WordPress und Cantao hatten laut Strato schuld.

    Ergänzung:
    https://core.trac.wordpress.org/ticket/61673

    Das könnte vielleicht auch den in https://de.wordpress.org/support/topic/serverfehler-500-error-auf-der-hauptseite/#post-161496 genannten Fehler betreffen? Die Website ist ebenfalls bei Strato.

    @pixolin ja genau deswegen hatte ich den Link gepostet 😀

Ansicht von 10 Antworten – 16 bis 25 (von insgesamt 25)