Təhlükəsizlik mütəxəssisi Wiz Microsoft-un Azure Tətbiq Xidmətində zəiflik barədə xəbərdarlıq edir. Zəiflik yüzlərlə mənbə kodu anbarını ifşa edir. Microsoft bundan sonra sızıntını aradan qaldırdı.
Wiz Azure Tətbiq Xidmətində NotLegit adlanan zəifliyi aşkar edib. Azure Veb Tətbiqləri kimi də tanınan xidmət veb-saytların və veb-əsaslı proqramların yerləşdirilməsi üçün platformadır. Mənbə kodu və artefaktlar Local Git alətindən istifadə edərək Azure Tətbiq Xidmətinə yüklənə bilər. İstifadəçilər Azure Tətbiq Xidməti konteyneri ilə Yerli Git repozitoriyası qura və kodu birbaşa serverə itələyə bilərlər.
Tədqiqatçıların fikrincə, zəiflik məhz buradadır. Kodu Azure Tətbiq Xidmətinə yaymaq üçün Local Git-dən istifadə edərkən, git repozitoriyası hər kəsin daxil ola biləcəyi ictimai əlçatan kataloqla qurulmuşdur.
Bir neçə kod dili təsirləndi
Xüsusilə PHP, Python, Ruby və ya Node-da yazılmış mənbə kodu həssasdır. Bu qismən ona görədir ki, bu kod dilləri tez-tez Apache, Nginx və Flask kimi veb serverlərdən istifadə edir. Bu veb serverlər web.config fayllarını idarə edə bilməz. Bu, sözügedən mənbə kodu depolarına ictimai giriş imkanı verir.
Microsoft-a məlumdur
Wiz-in təhlükəsizlik mütəxəssisləri artıq bu il oktyabrın əvvəlində Microsoft-a zəiflik barədə məlumat vermişdilər. Microsoft bundan sonra onu bağladı. Hər halda, ekspertlər istifadəçiləri mənbə kodunun aşkar edilib-edilmədiyini yoxlamağa və tətbiqləri ilə bağlı tədbir görməyə çağırır.