https://www.heise.de/news/Sich…rn-zugreifen-6209130.html
Soweit ich das bis jetzt beurteilen kann, könnten wir hier Glück haben. Die aktuelle SE 0.389 hat anscheinend den Apache 2.4.48, betroffen dürfte nur 2.4.49 sein.
https://www.heise.de/news/Sich…rn-zugreifen-6209130.html
Soweit ich das bis jetzt beurteilen kann, könnten wir hier Glück haben. Die aktuelle SE 0.389 hat anscheinend den Apache 2.4.48, betroffen dürfte nur 2.4.49 sein.
Es ist nur die Version 2.4.49 betroffen. Da die Serverumgebung die Version 2.4.48 enthält, sind wir davon nicht betroffen.
Mit dem "Require all denied" würde man zunächst sämtlichen Zugriff verweigern. Hieße umgekehrt bei jedem Nutzer müsste per .htaccess ein "Require all granted" eintragen werden.
Da schon Version 2.4.50 veröffentlicht wurde, würde ich erst einmal abwarten.
2.4.48 ist - wie hier schon ausgefuehrt - nicht betroffen. In der kommenden Version werden wir 2.4.50 ausliefern.
Der Fix in Version 2.4.50 ist unzureichend und erlaubt weiterhin Path Traversal und Code Execution. Es ist nun Version 2.4.51 erschienen: