Nach einem Upgrade „begrüßte“ mich ein Meldungsfenster im Typo3-Backend mit dem folgenden Text:
Wichtiger Hinweis!
Security Risk! The new value of fileDenyPattern misses parts of its default:
\.(php[3-6]?|phpsh|phtml)(\..*)?$|^\.htaccess$
If TYPO3 is running on Apache, a customized value might enable backend or frontend users to execute malicious php scripts.
Die Lösung hierfür befindet sich im Backend unter Installation > All Configuration > [fileDenyPattern]. Hier wird der in der Meldung gezeigte reguläre Ausdruck (regular expression) „vermisst“.
\.(php[3-6]?|phpsh|phtml)(\..*)?$|^\.htaccess$
Diesen gilt es einzutragen beziehungsweise hinzuzufügen. Anschließend die Konfiguration abspeichern und gegebenenfalls den Cache löschen – fertig.
Typo3-Konfiguration: filePatternDeny
In der Variable $TYPO3_CONF_VARS[‚BE‘][‚fileDenyPattern‘] werden verbotene Dateiendungen anhand eines regulären Ausdrucks gespeichert. Alle hier aufgeführten Dateitypen lassen sich somit nicht mehr unter /fileadmin hochladen.
Diese Sicherheitseinstellung unbedingt vornehmen, da hochgeladene Dokumente mit den Endungen .php oder eine .htaccess-Datei definitiv nichts in der Dateiliste verloren haben und ein hohes Risiko darstellen.
Danke – einfache Massnahme. Ich setze sowas immer direkt in die localconf.php:
$TYPO3_CONF_VARS[‚BE‘][‚fileDenyPattern‘] = ‚\.(php[3-6]?|phpsh|phtml)(\..*)?$|^\.htaccess$‘;
Klar @Mateng. Dort laden diese Konfigurationen letztendlich sowieso.