CMS Made Simple 1.11.6 vrijgegeven Security release

[Rolf]

Zojuist is CMS Made Simple 1.11.6 Merchena vrijgegeven!
Naast enkele bugfixes, bevat deze een paar belangrijke wijzigingen om XSS hacks te voorkomen. Upgraden is zeer aan te bevelen!

De Engelstalige aankondiging: http://forum.cmsmadesimple.org/viewtopi ... =1&t=66166

Kijk ook even in het standaard /docs/htaccess.txt bestand. Daar zijn enkele regels die overgenomen moeten worden in je eigen .htaccess bestand in de root van je website.

php_value session.cookie_httponly true

<IfModule mod_headers.c>
# Disable ETags
Header unset ETag
FileEtag None
# For Security
Header set X-Frame-Options "SAMEORIGIN"
</IfModule>

[pasmaskas]

Upgraden gaat prima alleen zodra ik het .htaccess bestand op de website vervang met de nieuwe uit de 1.11.6 doc map (txt versie hernoemen naar .htaccess) dan krijg ik alleen maar een error500 pagina en meer kan ik ook niet doen. Als ik die van 1.11.5 weer terug zet is er niets aan de hand.

Wat doe ik verkeert?

[Rolf]

Niet alle webhosts accepteren:

Code: Select all

php_value session.cookie_httponly true

Dan moet je daar even:

Code: Select all

#php_value session.cookie_httponly true

van maken. Iets minder veilig, maar geen keus...

[pasmaskas]

Dankje Rolf!

Dit werkt wel alleen jammer voor de veiligheid.

Gr Pascal

[Rolf]

In de SVN had ik deze regel al verplaatst naar

Code: Select all

# This is important, so uncomment if your host permit
#Options -Indexes
#ServerSignature Off
#php_value session.cookie_httponly true  <------------

Optioneel dus, maar wel aan te bevelen...