Skip to main content

Joomla

.htaccessとweb.configのセキュリティアップデート

重要なセキュリティアップデートです

2019年2月12日にリリースされたJoomla3.9.3には重要なセキュリティアップデートが記載されています。
自動更新できないため必要な変更を手動で行う必要があります。

Joomlaはデフォルトの htaccess.txt と web.config.txt ファイルに追加のセキュリティ強化を施してリリースされています。これらの強化により、Webブラウザのいわゆる MIME スニッフィング が無効になります。スニッフィングは、通常無害なファイル形式(例:画像)のスクリプトが実行される特定の攻撃経路につながり、クロスサイトスクリプティングの脆弱性を引き起こします。

セキュリティチームは、必要な変更を既存の .htaccessファイル または web.configファイル に手動で適用することをお勧めします。これらのファイルは自動的に更新できないためです。

.htaccess に対する変更
33行目「## Mod_rewrite in use.」の前に次の内容を追加:

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

web.config に対する変更
28行目 </rewrite> の直後に次の内容を追加:

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>