From: Moritz Bunkus <m.bunkus@linet.de>
Date: Fri, 7 Aug 2020 13:23:49 +0000 (+0200)
Subject: htaccess: Regel auf Verzeichnisse mit Namen .git oder config beschränken
X-Git-Tag: release-3.5.6.1~78
X-Git-Url: http://wagnertech.de/git?a=commitdiff_plain;h=140c398811f5d9bf675eeec3a4e26325818fbc6d;p=kivitendo-erp.git

htaccess: Regel auf Verzeichnisse mit Namen .git oder config beschränken

Die bisherige Regel verbietet schlicht den Zugriff auf beliebige
Dateien und Verzeichnisse, die ».git« oder »config« irgendwo im Namen
haben — z.B. »js/edit_periodic_invoices_configs.js« oder die
»config.js« vom CKEditor. Damit gehen dann Dinge wie das Bearbeiten
der Konfiguration wiederkehrender Rechnungen nicht mehr.
---

diff --git a/.htaccess b/.htaccess
index 155969dbf..106aeb458 100644
--- a/.htaccess
+++ b/.htaccess
@@ -11,6 +11,6 @@
 
 <IfModule mod_rewrite.c>
   RewriteEngine On
-  RewriteRule .*(\.git|config).*$ - [F,NC]
+  RewriteRule .*/(\.git|config)/.*$ - [F,NC]
 </IfModule>
 
diff --git a/doc/dokumentation.xml b/doc/dokumentation.xml
index d324b3495..dea3f1306 100644
--- a/doc/dokumentation.xml
+++ b/doc/dokumentation.xml
@@ -1289,7 +1289,7 @@ Alias       /url/for/kivitendo-erp-fcgid/          /path/to/kivitendo-erp/</prog
         sowie ferner auch die Möglichkeit nicht ausschließen, dass es in Unterverzeichnissen auch noch .git Repositories geben kann.
         Die Empfehlung für Apache 2.4 wäre damit:
         <programlisting>
-        &lt;DirectoryMatch "(\.git|config)/"&gt;
+        &lt;DirectoryMatch "/(\.git|config)/"&gt;
           Require all denied
         &lt;/DirectoryMatch&gt;</programlisting>
        </para>