2016年9月13日TYPO3安全更新后该怎么办？

Question

我不明白上周的安全补丁：https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-022/。我有一个旧的TYPO3 6.2安装。我已经截断了所有的cf_*表并用UID2-6打开了页面。没有cHash。因此，我看到13个cf_cache_散列-条目。现在，我已经从前面的列表页面打开了一个详细的页面。我在URL中看到了一些参数，比如action、控制器、当前显示的记录的UID，以及cHash。然后，我将这些参数(不包括id=x)复制到第2-6页的URL中。在cf_cache_hash，我还有13张唱片。因此，没有缓存洪流。

或者我该如何解释这句话：

带有有效cHash参数的链接将导致新生成的页面缓存条目。由于cHash没有绑定到特定的页面，攻击者可以为多个页面使用有效的cHash参数，从而导致附加无用的页面缓存条目。

下一个问题：

如果使用像realurl这样的扩展，则需要刷新它们的缓存(以及TYPO3缓存)。

你能告诉我哪些桌子我/我们应该清空吗？

• tx_realurl_urldecodecache
• tx_realurl_urlencodecache

也许没问题。但是tx_realurl_pathcache呢？当然，我可以澄清这一点，但是更早的realurl配置的旧条目呢？如果我截断该表，这些旧条目将不再有效，并且不再构建。因此，旧的搜索引擎结果是无效的。

我们的一个客户的问题:是否足以清除后端的系统缓存，还是他应该点击清除Installtool中的所有缓存？好的。IMO，这还不够，必须在DB上直接截断表。正确的。

下一个：

这意味着如果这样的URL被搜索引擎索引，这个搜索引擎的访问者将在一个不正常工作的页面上结束。

嘿酷。那现在呢？解决办法是什么？保持原样？它依赖于名为: InstallTool的pageNotFoundOnCHashError设置。对吗？

请告诉我们该做什么，并补充一些更多的细节，如何处理。

斯特凡

Answer 1

对我来说，它归结为(在安装了更新的TYPO3版本之后)：

如果不使用realurl:启用

$GLOBALS['TYPO3_CONF_VARS']['FE']['cHashIncludePageId'] = true;

&而且你很可能已经“完成”了。当然，所有旧的谷歌点击率都会完成，但在“公共”网站上，如果你没有运行realurl (或类似的)，你很可能根本不关心谷歌。

如果在6.2上使用realurl1.x

不要启用配置(可能永远不会有合适的修补程序)

有两种选择：

1. 冒DDOS的风险
2. 使用https://github.com/mogic-le/typo3-realurl的1.x版本(如果我正确理解它)，如果缓存表没有命中，它将将TYPO3设置为no_cache模式；虽然这是性能问题，但它将阻止缓存表条目的生成(作为副作用)。

如果您运行7.6+和realurl 2

1. 等待Realurl2.1(并承担风险？)
2. 将缓存框架更改为像memcached这样的东西(在代码之间有一些建议:如果您有一个不能用于DDOS的缓存后端，那么您就不必真正关心)
3. 使用helhum的叉子(虽然我认为这对你处理旧链接一点帮助都没有)

Answer 2

Realurl >= 2.1.0支持此核心选项。但是建议您至少更新到2.1.4，因为这解决了其他各种cHash问题。