Aktuelle Situation bei Strato mit TYPO3 und dem Problem „403 Forbidden: You don’t have permission to access this resource.“
17.07.24 22 Uhr: Strato hat reagiert und für alle Kunden eine Anpassung durchgeführt, wodurch das Problem behoben wurde.
17.07.24: Die Situation sieht derzeit so aus, dass Strato durch einen eigenen Patch ihrer Sicherheitsinfrastruktur (um ein Sicherheitslücke im Apache Webserver schnell abdichten zu können) sämtlichen TYPO3 Versionen das Backend lahmgelegt hat. Und schiebt das Problem auf TYPO3, so nebenbei bemerkt. Generell hat der Support auch nicht viel Ahnung von TYPO3, denn er spricht von einem Entwickler und schreibt TYPO3 falsch. Das Problem lässt sich nur dann lösen, wenn Strato die Apache Webserver Software aktualisiert, die Lücke schließt und den eigenen Patch wieder rückgängig macht. Ob und wann dies geschehen wird, ist noch offen.
Sehr geehrter Kunde,
Sie hatten sich an uns gewendet, da Sie bei der Nutzung Ihrer Typo3 Instanz auf eine Fehlermeldung („403 Forbidden“) gestoßen sind.
Diese rührt daher, dass eine unsichere Schwachstelle durch ein Softwareupdate in der Infrastruktur geschlossen wurde. Diese hätte es Angreifern erlaubt in Ihren Webspace einzudringen und Schadcode auszuführen. Dies unterbindet die Kommunikation von Typo3 und dessen verwendeter Methode mit dem Webserver in einigen Bereichen der Typo3 Instanz.
Wir verweisen auf Schwachstellenbeschreibung CVE-2024-38474 (https://www.cve.org/CVERecord?id=CVE-2024-38474). Dieses Update wird generell auf allen gängigen Apache Instanzen installiert werden.
Aus Sicherheitsgründen werden wir die unsichere Methode die Typo3 verwendet auf den Hostsystemen nicht wieder freigeben. Wir bitten Sie ggfs. den Entwickler von Typo3 zu Kontaktieren und Ihn auf die Schwachstelle hinzuweisen. Wir empfehlen ausdrücklich keine Modifikationen die dies umgeht umzusetzen, weil Sie dadurch angreifbar werden.
Falls Sie schnell wieder mit Ihrer TYPO3 Instanz online sein möchten, können Sie sich gerne an uns wenden. Wir transferieren Ihr TYPO3 System zu einem anderen Hoster, der aktuelle Webserver-Software einsetzt.