Fehlermeldung "Zugriff auf update.php: Ungeschützt" nach Update auf 8.7.11
Eingetragen von Laureline (11)am 04.01.2020 - 13:47 Uhr in
Hallo,
ich verzweifel hier langsam.
Ich versuche ein Update von 8.7.9 auf 8.7.11 durchzuführen. Das Update ansich klappt auch, aber danach erhalte ich im Statusbericht immer folgende Fehlermeldung:
Zugriff auf update.php
Ungeschützt
Das Update.php-Skript kann von jedem ausgeführt werden, ohne dass überprüft wird, ob eine Berechtigung zur Ausführung des Skripts vorliegt. Hierdurch entsteht ein Sicherheitsrisiko. Der Wert der Einstellung $settings['update_free_access'] in der Datei settings.php mss zurück auf FALSE gesetzt werden.
Die Datei settings.php ist auf CHMOD 400 gestellt und der angemahnte Eintrag auf FALSE. Die Datei selbst ist laut Server auch seit dem 15.07.2018 nicht geändert worden. Allerdings kann ich jetzt die update.php Datei aufrufen - egal ob ich angemeldet bin oder nicht. Die update.php Datei hat CHMOD 644 und hat sich auch durch das Update geändert laut Server.
Ich hab eine Google Suche angestoßen, aber leider hat mir bisher kein Lösungsvorschlag, den ich gefunden habe, geholfen bzw. ich war mir nicht sicher, ob das für die aktuelle Drupal Version auch verwendet werden kann.
Folgende Artikel habe ich gefunden
https://www.drupal.org/forum/support/post-installation/2019-07-24/settingsupdate_free_access-false
https://www.drupal.org/project/drupal/issues/2983722
Bei letzterem war ich mir nicht sicher, weil es eine ältere Drupal Version ist. Kann ich da einfach so die settings.php übernehmen und für meine Installation anpassen?
Könnt ihr mir hier weiterhelfen?
Vielen Dank im Voraus.
- Anmelden oder Registrieren um Kommentare zu schreiben
Bei mir kommt die
am 04.01.2020 - 14:21 Uhr
Bei mir kommt die Fehlermeldung :
In order to run update.php you need to either have "Administer software updates" permission or have set $settings['update_free_access'] in your settings.php.
wenn ich versuche als Gast update.php aufzurufen. Hast Du geprüft (auch auf evtl vorhandene Tipfehler) daß $settings['update_free_access'] = FALSE in der settings.php steht? Wenn ja, was ist mit der zweiten Bedingung, dem Zugriffsrecht? Wie ist das bei Dir gesetzt?
Im Übrigen ist die aktuelle Drupal Version 8.8.1. Bei einer Installation mittels Composer wird auch automatisch darauf upgedatet.
.
Werner
drupal-training.de
Moderator und Drupal Trainer
* - - - - - - - - - - - - - - - - - - - - - - - - - - - *
Also ich habe die
am 04.01.2020 - 15:43 Uhr
Also ich habe die Installation jetzt wieder auf 8.7.9 zurückgesetzt. Hier ist alles normal.
Wenn ich als Gast "update.php" aufrufe geht es nicht, weil kein Zugriff (Fehlermeldung genau die gleiche, die du geschrieben hast). In der settings.php ist folgendes in Zeile 323:
<?php
$settings['update_free_access'] = FALSE;
?>
Die Dateizugriffsrechte:
In der settings.php sind auch Zugriffsrechte vergeben:
<?php
$settings['file_chmod_directory'] = 0755;
$settings['file_chmod_file'] = 0644;
?>
Jetzt führe ich das Update von 8.7.9 auf 8.8.1 durch:
1. Fehlermeldung nach dem Ausführen der update.php:
Die folgenden Aktualisierungen haben Nachrichten zurückgegeben:
views-Modul
remove_core_key aktualisieren
Fehlgeschlagen: InvalidArgumentException: Placeholders must have a trailing [] if they are to be expanded with an array of values. in Drupal\Core\Database\Connection->expandArguments() (Zeile 738 in .../drupal_8/core/lib/Drupal/Core/Database/Connection.php).
Außerdem wird hier ausgegeben:
Zur Erinnerung: vergessen Sie nicht den Wert $settings['update_free_access'] in Ihrer Datei settings.php wieder auf FALSE zu setzen.
Die Seite kann allerdings normal aufgerufen werden - keine weiße Seite oder ähnliches.
Im Statusbericht werden jetzt 2 Fehlermeldungen angezeigt:
Datenbankaktualisierungen
Veraltet
Einige Module müssen Änderungen an der Datenbank vornehmen. Das Datenbankaktualisierungsskript sollte umgehend ausgeführt werden.
Zugriff auf update.php
Ungeschützt
Das Update.php-Skript kann von jedem ausgeführt werden, ohne dass überprüft wird, ob eine Berechtigung zur Ausführung des Skripts vorliegt. Hierdurch entsteht ein Sicherheitsrisiko. Der Wert der Einstellung $settings['update_free_access'] in der Datei settings.php mss zurück auf FALSE gesetzt werden.
Die Datenbankaktualisierung kann ich ausführen, aber bringt nichts. Die update.php ist von Gästen aufrufbar obwohl in der settings.php FALSE steht und die Dateiberechtigung nicht verändert wurde.
Also wieder auf 8.7.9 zurückgestellt und Update auf 8.7.11 durchgeführt.
Update ohne Fehlermeldungen abgeschlossen, Seite kann normal genutzt werden. Aaaaber im Statusbericht erscheint wieder der Fehler:
Zugriff auf update.php
Ungeschützt
.....
Und die Datei update.php ist von Gästen aufrufbar.
Zugriffsrechte unverändert:
In der settings.php steht auch weiterhin folgendes in Zeile 323:
<?php
$settings['update_free_access'] = FALSE;
?>
und in der Zeile 516 und 517 (ebenfalls unverändert):
<?php
$settings['file_chmod_directory'] = 0755;
$settings['file_chmod_file'] = 0644;
?>
Ehrlich, ich checks einfach nicht. Was läuft hier schief?
Ähm o.O jetzt wirds wirklich
am 04.01.2020 - 16:56 Uhr
Ähm o.O jetzt wirds wirklich sonderbar. Ich habe jetzt einfach die Installation (8.7.11) seit etwa 1 Stunde nicht angerührt und wollte jetzt einfach wieder alles auf Anfang (8.7.9) stellen und habe nur aus Routine in den Statusbericht gelinst. Keine Fehlermeldung. Einfach so. Alles Ok. Die update.php ist nun auch nicht mehr als Gast erreichbar. Einfach so. Ohne Veränderung meinerseits. o.O
Ich möchte mich ja wirklich nicht beschweren, aber.... wie geht das denn?! o.O
Was ich schon öfter erlebt
am 04.01.2020 - 18:01 Uhr
Was ich schon öfter erlebt habe: Nach einem Update unbedingt einen "Cache Rebuild" duchführen (drush cr). Möglicherweise hat das Warten einmal den Cron angestoßen und dabei ein Rebuild des Caches angestoßen. Was anderes fällt mir dazu nicht ein.
.
Werner
drupal-training.de
Moderator und Drupal Trainer
* - - - - - - - - - - - - - - - - - - - - - - - - - - - *