我不理解上周的安全补丁:https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-022/。我有一个旧的TYPO3 6.2安装。我已截断所有cf_ *表并使用UID 2-6打开页面。没有cHash。结果我看到13个cf_cache_hash条目。 现在我已经从前端的列表页面打开了一个详细信息页面。我在URL中看到一些参数,如action,controller,当前显示记录的UID以及导致cHash的参数。 然后我将这些参数(不包括id = x)复制到我的2-6页的URL。在cf_cache_hash中,我还有13条记录。因此,没有缓存泛滥。
或者我如何解释这句话:
使用有效的cHash参数链接会导致新生成的页面缓存 条目。因为cHash没有绑定到特定页面,攻击者 可以为多个页面使用有效的cHash参数,导致 其他无用的页面缓存条目。
下一个问题:
如果使用像realurl这样的扩展,则需要刷新它们 缓存(以及TYPO3缓存)
你能告诉我我/我们应该清楚哪些表格吗?
也许没问题。但是tx_realurl_pathcache怎么样?当然,我可以清楚这一点,但是早期的realurl配置的旧条目呢?如果我截断该表,则这些旧条目不再有效,并且它们不会再次构建。因此,旧的搜索引擎结果无效。
来自我们的一位客户的问题:是否足以清除后端的系统缓存,或者他是否应该点击Installtool中的Clear all Cache?尼斯。 IMO,这是不够的,表格必须直接在DB上截断。右。
下一个:
嘿,很酷。现在?解决办法是什么?保持原样吗? IMO它取决于一个名为:pageNotFoundOnCHashError的InstallTool设置。正确?这意味着如果此类网址由搜索引擎编入索引,则访问者来自 这个搜索引擎最终会出现在一个工作不正常的页面上。
请告诉我们该怎么做,请添加一些如何处理的详细信息。
的Stefan
答案 0 :(得分:3)
对我来说,它归结为(在安装更新的TYPO3版本之后):
如果您不使用realurl:启用
$GLOBALS['TYPO3_CONF_VARS']['FE']['cHashIncludePageId'] = true;
&安培;而且你可能已经完成了#34;。当然,所有旧的谷歌点击都将完成,但在公众"网站很可能你从来没有关心谷歌,如果你没有运行realurl(或类似)
如果你在6.2
上使用realurl 1.X.不要启用配置(可能永远不会是一个合适的补丁)
两个选项:
如果您运行7.6+和realurl 2
答案 1 :(得分:2)
Realurl> = 2.1.0支持此核心选项。但建议您更新至至少2.1.4,因为这可以解决各种其他cHash问题。