问题和答案
-
这会对所有组织产生同等影响吗? 不,这取决于管理角色的设计。 如果您可以在不同类型的管理员之间拆分访问权限( 例如,“系统管理员”与“区域数据管理员” ),则会影响您的安全设计。 然而,如果你只同意 管理CiviCRM 对于那些管理代码的人来说,它不会立即构成威胁。
-
发生了什么变化? 以前,具有权限的用户可以在web-app中完全配置接受的文件类型列表 管理CiviCRM . 现在,文件类型列表仍然是可配置的,但有些文件类型将被视为 绝对不安全 (无论基于web的配置如何)。
-
哪些文件类型是 绝对不安全 ? 我可以更新列表吗? 该列表包括 *.php文件 , *.phar文件 以及几种文件类型,这些文件类型过去在公共托管环境中支持服务器端处理。 只有系统管理员才能更新列表。 为此,请修改 民用设置.php 并配置 CIVICRM_限制_上传 例如: define('CIVICRM_RESTRICTED_UPLOADS','/(php|php\d|phtml|phar|pl|py|cgi|asp|js|sh|exe|pcgi\d)/i');
-
我的网络服务器(Apache/Nginx)限制上传文件夹中服务器端处理的请求。 我已经被保护了吗? 部分。 这样可以防止最明显的攻击。 但您仍然应该应用修复程序来防止更微妙的攻击。