Projet

Général

Profil

Actions
Copier le lien

Anomalie #7339

ouvert

Erreur `AH10411: Rewritten query string contains control characters or spaces` lors du téléchargement de certains fichiers avec `/file/xxx`

Ajouté par Jérôme Augé il y a presque 3 ans. Mis à jour il y a presque 3 ans.

Statut:
Nouveau
Priorité:
Normal
Assigné à:
-
Version cible:
-
Début:
11/04/2023
Echéance:
% réalisé:

0%

Temps estimé:
Version source:
3.2.26
Solution proposée:

Le RewriteRule du fichier ${CONTEXT_ROOT}/file/.htaccess doit être modifié pour ajouter le flag [B] :

--- a/file/.htaccess 2023-04-06 14:18:18.194748037 +0200
+++ b/file/.htaccess 2023-04-06 14:18:25.202703139 +0200
@@ -9,7 +9,7 @@
 RewriteCond %{REQUEST_URI} !/guest\.php$
 RewriteCond %{REQUEST_URI} !/authent\.php$
 RewriteCond %{REQUEST_URI} ^(.*)/file/[^/]*/[0-9]*/
-RewriteRule ^([^/]*)/([0-9]*)/([^/]*)/([^/]*)/(.*)$ %1/?app=FDL&action=EXPORTFILE&docid=$1&vid=$2&attrid=$3&index=$4&filename=$5 [L,QSA]
+RewriteRule ^([^/]*)/([0-9]*)/([^/]*)/([^/]*)/(.*)$ %1/?app=FDL&action=EXPORTFILE&docid=$1&vid=$2&attrid=$3&index=$4&filename=$5 [B,L,QSA]

 # Special case for authent : real redirect
 RewriteCond %{REQUEST_URI} !/guest\.php$
Principaux fichiers impactés:
Complexité:
Contrôle:
Thème:
Socle technique
Régression:
Non

Description

Le téléchargement (via l'API /file/xxx) de fichiers contenant des espaces dans leur nom est mis en erreur par Apache avec un erreur AH10411: Rewritten query string contains control characters or spaces

​C’est apparemment un problème introduit par la correction d’une CVE sur Apache par Ubuntu le 10 mars :

Up until March 10th 2023, Ubuntu’s Apache accepted blanks in rewritten query strings.
Since the fix for CVE-2023-25690, they are not allowed anymore.

Actions
Copier le lien
 #1

Mis à jour par Jérôme Augé il y a presque 3 ans

  • Description mis à jour (diff)
  • Solution proposée mis à jour (diff)
Actions
Copier le lien

Formats disponibles : Atom PDF