自从昨天我们的 Apache 晚上更新以来,我们开始收到显示 403 Forbidden 的网站。 看起来像是编码“?”不再允许。疯狂的是,PHP 在使用 rawurlencode() 时正是这样做的。 我们将其用于通过 GET 传输的表单字段中的用户输入。我们需要改变所有这些地方吗? 使用谷歌,我们读到了一个名为“UnsafeAllow3F”的选项,但我不知道如何设置它。 其他人是否也出现过此问题?您正在采取哪些措施来解决?
在代码示例中,如果 $test 包含“?”用户收到 403 Forbidden。
<a href='test?a=<?=rawurlencode($test);?>test</a>
我们通过在重写规则中添加 UnsafeAllow3F 标志来解决此问题:
[PT]
更改为
[PT,不安全允许3F]
这解决了问题。 然而,存在与此相关的安全漏洞,除了“Apache 基金会建议用户升级到版本 2.4.61”之外,我似乎找不到太多信息。
今天早上我在 Ubuntu 上尝试了手动编译和安装,这真是一场噩梦,最终我无法让它与 Coldfusion 一起工作,所以我等着看他们是否会将此修复程序引入 Ubuntu 软件包中构建(当前为 2.4.52)