Bescherm je Magento site tegen het file exposure lek in de Amasty Product Feed extensie

Bij een inventarisatie zijn we erachter gekomen dat een aantal Magento webshops op ons platform gebruik maken van de Amasty Product Feed. Door een lek in deze extensie is het mogelijk configuratiebestanden te downloaden en misbruik te maken van je shop.

Op het Hypernode platform rollen we een blokkade uit die aanvallers ervan weerhoudt om dit lek te misbruiken. Op het Byte platform zijn we nog aan het zoeken naar een mogelijkheid om dit ook te doen. Deze blokkade beschermt je shop tegen misbruik, maar dicht het lek niet. We raden iedereen aan die gebruik maakt van deze extensie om zo snel mogelijk te updaten naar de meest recente versie (3.3.4 of hoger).

Wat is de Amasty Product Feed extensie voor Magento

Amasty Product Feed is een Magento extensie die gebruikt kan worden om product feeds te genereren. Deze feeds zijn een lijst met productinformatie die gebruikt kan worden door vergelijkingssites en productindexen zoals Google Product Search, Nextag, Amazon.com etc.

Dit lek is gevonden en gerapporteerd door Jeroen Boersma.

Wat is het lek en wat zijn de gevolgen

Doordat de inputargumenten van een script in de Amasty Product Feed extensie niet goed gecontroleerd en gevalideerd worden, is het mogelijk om willekeurige files in de web content te downloaden waar je de locatie van weet, zoals bijvoorbeeld je app/etc/local.xml. Hiermee is het mogelijk om o.a. de database credentials, de cache settings en admin URL instellingen te downloaden en deze te misbruiken.

Meer informatie over dit lek is te vinden op de github van Jeroen.

Wat te doen als je gebruik maakt van deze extensie

Amasty heeft het lek verholpen in versie 3.3.4. Door de extensie te updaten naar de meest recente versie je shop is beschermd tegen misbruik van dit lek.

Als je niet weet hoe je Magento extensies kan updaten, neem dan contact op met je technisch beheerder om je te helpen met deze update.

De blokkade van dit lek op Hypernode

We hebben op Hypernodes een fix uitgerold die alle requests waar misbruik gemaakt wordt van deze bug blokkeert door een include file te plaatsen in /data/web/nginx.
Dit zorgt ervoor dat het lek niet misbruikt kan worden, maar het dicht het lek niet.

Als je problemen ervaart door deze blokkade, raden we je aan om eerst de extensie te updaten naar versie 3.3.4 of hoger voordat je de blokkade aanpast of verwijdert.

Hulp nodig?

Byte heeft als hostingpartij veel ervaring in het goed hosten van Magento shops. Je shop draait bij ons supersnel en we weten als geen ander je conversie te vergroten, maar we zijn geen Magento ontwikkelaars.

Als je op zoek bent naar een technische ontwikkelpartij die je kan helpen met het updaten van deze extensie, kijk dan eens naar een van onze partners.

0