Mae arbenigwr diogelwch Wiz yn rhybuddio am fregusrwydd yng Ngwasanaeth Ap Azure Microsoft. Mae'r bregusrwydd yn amlygu cannoedd o ystorfeydd cod ffynhonnell. Ers hynny mae Microsoft wedi clytio'r gollyngiad.
Darganfu Wiz yr hyn a elwir yn agored i niwed NotLegit yn Azure App Service. Mae'r gwasanaeth, a elwir hefyd yn Azure Web Apps, yn llwyfan ar gyfer cynnal gwefannau a chymwysiadau ar y we. Gellir uwchlwytho cod ffynhonnell ac arteffactau i Azure App Service gan ddefnyddio'r teclyn Local Git. Gall defnyddwyr sefydlu ystorfa Git Lleol gyda chynhwysydd Azure App Service a gwthio'r cod yn uniongyrchol i'r gweinydd.
Yn ôl yr ymchwilwyr, dyma'n union lle mae'r bregusrwydd. Wrth ddefnyddio Local Git i gyflwyno'r cod i'r Azure App Service, sefydlwyd y storfa git gyda chyfeiriadur sy'n hygyrch i'r cyhoedd y gall pawb ei gyrchu.
Effeithiwyd ar sawl iaith cod
Yn enwedig mae cod ffynhonnell a ysgrifennwyd yn PHP, Python, Ruby or Node yn agored i niwed. Mae hyn yn rhannol oherwydd bod yr ieithoedd cod hyn yn aml yn defnyddio gweinyddwyr gwe fel Apache, Nginx a Flask. Ni all y gweinyddwyr gwe hyn drin ffeiliau web.config. Mae hyn yn caniatáu i'r cyhoedd gael mynediad at y storfeydd cod ffynhonnell dywededig.
Yn hysbys i Microsoft
Mae'r arbenigwyr diogelwch yn Wiz eisoes wedi hysbysu Microsoft o'r bregusrwydd ar ddechrau mis Hydref eleni. Mae Microsoft wedi ei gau ers hynny. Beth bynnag, mae'r arbenigwyr yn annog defnyddwyr i wirio a yw eu cod ffynhonnell wedi'i ddatgelu ac i weithredu ar gyfer eu cymwysiadau.