Magento caching bestanden lek


Tags: MagentomagereportSecurity

Een slecht geconfigureerde server kan caching bestanden lekken waardoor het voor kwaadwilligen relatief makkelijk is om aan de databasegegevens van je shop te komen. Ook zorgt dit lek ervoor dat klantgegevens, zoals financiele gegevens, makkelijk te downloaden zijn, omdat deze ook in de cache worden opgeslagen.

Let op! Byte blokkeert dit voor Hypernode standaard in de configuratie. Host je bij Byte? Dan hoef je dus niets te doen en is je site en/of shop veilig! Neem je bij Byte Dedicated Magento hosting  af dan draait je Magento op Apache. Apache is veilig voor dit lek, als je shop het standaard met Magento meegeleverde .htacces bestand heeft.

Vanwege de aard van het probleem is het onderstaande artikel geschreven in het Engels. Met een Engelstalig artikel hopen we shopeigenaren van over de hele wereld een how-to te bieden om het probleem op te lossen en hun shop goed te beveiligen.

What is Cacheleak vulnerability?

Read more about the Magento cacheleak problem.

How do I fix it?

Byte customers who run their Magento shop on the Hypernode platform are already protected against this and many other security risks.

If you are hosting elsewhere, it all depends on your webserver.

Apache

If you are using Apache and MageReport says you are susceptible to Cacheleak, it means that your .htaccess files are not activated. Verify that there is at least a .htaccess file under /var. If there is one, check with your server administrator whether .htaccess controls are enabled.

Nginx

Many people are switching over to Nginx. At the very least, you should make sure your server definition contains a line like this:

location ^~ /var/ { return 403; }

However, because Nginx location rules are matched in a non-trivial way, you should verify that there are no other rules that take precendence. For reference, here is (a subset of) the battle tested config that our customers on the Hypernode platform enjoy.

A long term solution would be to move internal application data out of the public webspace but this requires quite a modification in the Magento core.

2