Joomla3.9.3への自動アップロード時の注意点

Joomla3.9.3へのアップデートに関して、セキュリティーのアップデートの対応として、.htaccessおよびweb.configファイルの書き換えが推奨されています。以下はサイトからのアップデート後に表示されるメッセージです。

基本的には、画像などに埋め込まれた不正なスクリプトなどの実行を阻止させる設定になると思います。

実際過去に、JPEG画像のExif領域に不正データが埋め込まれたことがあり、見つけるのに苦労した経験があります。

 具体的な対応としてサイトのトップディレクトリにある、.htaccess及び、web.config.txtファイルの中身を下記を参考に書き換えてください。

Since Joomla 3.9.3, Joomla is shipped with additional security hardenings in the default htaccess.txt and web.config.txt files. These hardenings disable the so called MIME-type sniffing feature in webbrowsers. The sniffing leads to specific attack vectors, where scripts in normally harmless file formats (i.e. images) will be executed, leading to Cross-Site-Scripting vulnerabilities.

The security teams recommends to manually apply the necessary changes to existing .htaccess or web.config files, as those files can not be updated automatically.

Changes for .htaccess
Add the following lines before "## Mod_rewrite in use.":

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Changes for web.config
Add the following lines right after "</rewrite>":

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>



印刷