Joomla 3.9.3 - Notes de sécurité

Mise à jour de sécurité des fichiers .htaccess et web.config

Depuis la version Joomlaǃ 3.9.3, Joomlaǃ embarque de nouveaux durcissements de la sécurité dans les fichiers par défaut htaccess.txt et web.config.txt. Ces durcissements désactivent la fonctionnalité appelée reniflement MIME-type (sniffing) dans les navigateurs web. Ce reniflement conduit à des vecteurs d'attaques spécifiques, où des scripts ayant des formats normalement sans danger (i.e. images) vont être exécutés, conduisant à des vulnérabilités de script inter̠-sites (Cross-Site-Scripting). L'équipe Joomlaǃ gérant les aspects sécurité (Joomla Security Strike Team) recommande d'appliquer manuellement les modifications nécessaires dans les fichiers .htaccess ou web.config existants, étant donné que ces fichiers ne peuvent pas être mis à jour automatiquement.

Modifications pour le fichier .htaccess

'For Apache Web Servers' Ajoutez les lignes suivantes avant ## Mod_rewrite in use :

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Modifications pour le fichier web.config

For Microsoft IIS Web Server Ajoutez les lignes suivantes juste après </rewrite> :

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>

Modifications pour Nginx

For Nginx Web Server Si vous utilisez un serveur web Nginx, ajoutez le paramètre suivant dans la configuration /etc/nginx/nginx.conf, sous le bloc serveur ː

http {
  add_header X-Content-Type-Options nosniff;
}