Drupal 6.29 - Po aktualizaci hlášení "Not fully protected"

Dobrý den,
aktualizoval jsem web na Drupal 6.29 a v administraci v "hlášení stavu" se mi objevují dvě hlášky:

První:
Files directory Not fully protected
See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the sites/default/files directory to help protect against arbitrary code execution.

Druhá
Temporary files directory Not fully protected
See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the /data/www/farnost2k.cz/tmp/www.farnost2k.cz directory to help protect against arbitrary code execution.

Uvedený odkaz doporučuje na patřičná místa nahrát upravený soubor .htaccess. Problém je ten, že když takový soubor nahraji do sites/default/files, tak sice zmizne první hláška (druhou musím vyřešit s podporou, protože do dané složky nemám přístup, ale to není podstatné), ale přestanou se na webu zobrazovat obrázky. Problém bude tedy v obsahu onoho .htaccess. Protože tomu nerozumím, tak bych se chtěl zeptat, jak ho upravit, aby nedělal problémy. Doporučený obsah získyný z drupal.org/SA-CORE... je tento:



Předem děkuji za reakce...
Jiří Žáček

Dobrý den,

pokud chcete odstranit hlášku
, tak přejděte v administraci Drupalu do Nastavení > Média > Systém souborů. Zde si změňte Dočasný adresář z /data/www/farnost2k.cz/tmp/www.farnost2k.cz na ./tmp a klikněte na Uložit.

Hláška
se zobrazuje proto, že podle návodu Drupal 6 - Instalace a čeština máte vyprázdněn soubor .htaccess v adresáři sites/default/files/, aby se zobrazovaly správně obrázky a styly. Pokud by tam byl původní soubor .htaccess, tak by potom mohlo dojít ke špatnému zobrazení obrázků a stylů.

Dobrý den,
děkuji za tip, to první pomohlo, ale to druhé se mi nelíbí. Když přejdu do administrace webu, tak se mi tam zobrazuje červeně hláška: "V této instalaci Drupalu bylo nalezeno jeden nebo více problémů. Pro více informací zkontrolujte stránku s hlášením stavu." Rád bych, kdyby zmizla, protože tím pádem přicházím o upozornění na bezpečnostní aktualizace atd... Musel bych se tam pokaždé podívat a zkontrolovat to a to dělat nebudu. Nenapadá Vás nějaká možnost, jak to spravit tak, abych nepřišel o tuto funkcionalitu webu?
Samozřejmě, že nejlepším řešením by asi bylo upgradovat web na Drupal 7, ale to se mi zatím nikdy nepovedlo, vždycky to skončilo znefunkčněním webu, proto zatím zůstávám na verzi 6 a doufám, že si najdu čas, abych si verzi 7 nastudoval a web převedl. Zatím to neumím...
Pěkné odpoledne, Jiří Žáček.

Dobrý den,

pokud chcete, aby zmizela i druhá hláška, tak přejděte do adresáře sites/default/files a do souboru .htaccess vložte tento kód:

.
Ale to bych Vám nedoporučoval, soubor sites/default/files/.htaccess musí být prázdný, aby správně fungovaly obrázky a styly.

Doporučil bych Vám provést aktualizaci na nejnovější verzi. Pokud si s aktualizací na nejnovější verzi nevíte rady, tak se můžete obrátit na některého z našich partnerů (příp. vpravo blok Drupal partneři), který se aplikaci věnuje. Případně se můžete podívat do tohoto diskuzního tématu drupal-7-aktualizace-jadra-t1283.html.

V tomto tvaru jsem .htaccess měl a hned jsem toho nechal, protože skutečně zmizely všechny obrázky. No nic, tak právě nastala definitivně hodina, kdy se do nastudování Drupalu 7 musím pustit. Díky za veškerou pomoc...
Jiří Žáček.

Tak jsem si nainstaloval Drupal 7, provedl aktualizaci na nejnovější verzi a ejhle, problém se opakoval v bledě modrém. Po nahrání požadovaného tvaru souboru .htaccess zmizly na webu obrázky...
Tak jsem tedy postupoval metodou pokus-omyl a začal zakomentovávat jednotlivé řádky v souboru .htaccess ve složce sites/default/files a obrázky se objevily při tomto tvaru .htaccess:

# Turn off all options we don't need.
# Options None
# Options +FollowSymLinks

# Set the catch-all handler to prevent scripts from being executed.
# SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
# <Files *>
# Override the handler again if we're run later in the evaluation list.
# SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
# </Files>

# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
php_flag engine off
</IfModule>

Což znamená, že se tam vykonává jen poslední část kódu. Jestli to pomůže ostatním, tak budu rád. Podotýkám, že je to úprava pro Drupal 7, pro šestku si to udělám taky tak nějak podobně...

Dobrý den,

jedná se o problém posledních verzí aplikace Drupal 6 a Drupal 7. Následující verze by již měly obsahovat fix. Každopádně pokud chcete problém vyřešit již nyní, postup bude následující:

1. Na FTP serveru smažte původní soubor sites/default/files/.htaccess. Samozřejmě pokud používáte jinou složku pro veřejný systém souborů, tak soubor odstraňte z ní.
2. V administraci aplikace Drupal 7 přejděte do sekce Nastavení > Média > Systém souborů, změňte hodnotu pole Dočasný adresář na ./tmp a uložte nastavení (u verze Drupal 6 do sekce Nastavení webu > Systém souborů). Tím dojde ke změně dočasné složky do adresáře tmp (v kořenové složce Vaší instalace) a znovu se vytvoří soubor .htaccess s novým obsahem.
3. Nyní stačí na FTP serveru v souboru sites/default/files/.htaccess upravit řádky:
   
   Kód:
   # Turn off all options we don't need.
   Options None
   Options +FollowSymLinks
   
   # Set the catch-all handler to prevent scripts from being executed.
   SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
   <Files *>
     # Override the handler again if we're run later in the evaluation list.
     SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
   </Files>
   
   
   na následující tvar (zakomentování):
   
   Kód:
   # Turn off all options we don't need.
   #Options None
   #Options +FollowSymLinks
   
   # Set the catch-all handler to prevent scripts from being executed.
   #SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
   #<Files *>
     # Override the handler again if we're run later in the evaluation list.
   # SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
   #</Files>
   

Pak zmizí hlášení v administraci aplikace a budou funkční i obrázky. Pokud jste již změnil cestu k dočasnému adresáři, tak stačí pouze upravit řádky v souboru sites/default/files/.htaccess.

Nedari sa...robim vsetko podla navodu...obrazky sa nezobrazuju...

Ospravedlnujem sa...funguje to. Bola to chyba mojho FTP pripojenie.

Ještě obsah .htaccess pro Drupal 6: