Wir haben heute früh ein Update der Webserver-Software Apache auf die aktuelle Version 2.4.56 eingespielt. Seit diesem Update gibt es nun vereinzelt Probleme beim Aufruf von URLs mit Leerzeichen.
Falls Sie eine URL mit einem Leerzeichen aufrufen, erhalten Sie unter Umständen seit heute früh die folgende Fehlermeldung:
Forbidden
You don’t have permission to access this resource.
Besonders häufig betroffen ist das Content Management System MODX, das eine problematische Rewrite-Regel in der automatisch generierten .htaccess-Konfigurationsdatei verwendet.
Fehlerursache
Die Ursache für den Fehler ist ein fehlendes Escaping von Sonderzeichen in den Rewrite Regeln einer .htaccess-Konfigurationsdatei. Das Escaping von Sonderzeichen in Rewrite Strings war bis Apache Version 2.4.55 optional, seit Version 2.4.56 ist es aus Sicherheitsgründen (CVE-2023-25690) verpflichtend.
Sie können das Escaping über die Flags B (bei Umleitung auf Query Strings) bzw. BNP (bei Umleitung auf Pfade) aktivieren. Weitere Informationen finden Sie in der Apache-Dokumentation.
Beispiel
Die folgende Rewrite Regel des MODX Content Management Systems erzeugt bei Leerzeichen in der URL eine Fehlermeldung:
RewriteRule ^(.*)$ index.php?q=$1 [L,QSA]
Um die Fehlermeldung zu beheben, muss die Regel wie folgt geändert werden:
RewriteRule ^(.*)$ index.php?q=$1 [B,L,QSA]