নিরাপত্তা বিশেষজ্ঞ উইজ মাইক্রোসফ্টের Azure অ্যাপ পরিষেবাতে একটি দুর্বলতার বিষয়ে সতর্ক করেছেন। দুর্বলতা শত শত সোর্স কোড রিপোজিটরি প্রকাশ করে। মাইক্রোসফ্ট তখন থেকে ফাঁস প্যাচ করেছে।
Wiz Azure অ্যাপ সার্ভিসে তথাকথিত NotLegit দুর্বলতা আবিষ্কার করেছে। পরিষেবাটি, যা Azure ওয়েব অ্যাপস নামেও পরিচিত, ওয়েবসাইট এবং ওয়েব-ভিত্তিক অ্যাপ্লিকেশন হোস্ট করার একটি প্ল্যাটফর্ম। স্থানীয় গিট টুল ব্যবহার করে সোর্স কোড এবং আর্টিফ্যাক্টগুলি Azure অ্যাপ সার্ভিসে আপলোড করা যেতে পারে। ব্যবহারকারীরা Azure অ্যাপ পরিষেবা কন্টেইনারের সাথে একটি স্থানীয় গিট সংগ্রহস্থল সেট আপ করতে পারে এবং কোডটি সরাসরি সার্ভারে পুশ করতে পারে।
গবেষকদের মতে, এটি ঠিক যেখানে দুর্বলতা রয়েছে। Azure অ্যাপ পরিষেবাতে কোডটি রোল আউট করার জন্য স্থানীয় গিট ব্যবহার করার সময়, গিট সংগ্রহস্থলটি একটি সর্বজনীনভাবে অ্যাক্সেসযোগ্য ডিরেক্টরি সহ সেট আপ করা হয়েছিল যা প্রত্যেকে অ্যাক্সেস করতে পারে।
বেশ কিছু কোড ভাষা প্রভাবিত হয়েছে
বিশেষ করে পিএইচপি, পাইথন, রুবি বা নোডে লেখা সোর্স কোড দুর্বল। এটি আংশিক কারণ এই কোড ভাষাগুলি প্রায়শই অ্যাপাচি, এনজিনক্স এবং ফ্লাস্কের মতো ওয়েব সার্ভার ব্যবহার করে। এই ওয়েব সার্ভারগুলি web.config ফাইলগুলি পরিচালনা করতে পারে না। এটি উল্লিখিত উত্স কোড সংগ্রহস্থলে পাবলিক অ্যাক্সেসের অনুমতি দেয়।
মাইক্রোসফট পরিচিত
উইজের নিরাপত্তা বিশেষজ্ঞরা ইতিমধ্যেই এই বছরের অক্টোবরের শুরুতে মাইক্রোসফ্টকে দুর্বলতার কথা জানিয়েছিলেন। মাইক্রোসফ্ট তখন থেকে এটি বন্ধ করে দিয়েছে। যাই হোক না কেন, বিশেষজ্ঞরা ব্যবহারকারীদের তাদের সোর্স কোড প্রকাশ করা হয়েছে কিনা তা পরীক্ষা করার এবং তাদের অ্যাপ্লিকেশনের জন্য পদক্ষেপ নেওয়ার জন্য অনুরোধ করেন।