Sekurecspecialisto Wiz avertas pri vundebleco en Azure App Service de Microsoft. La vundebleco elmontras centojn da fontkodaj deponejoj. Microsoft poste flikis la likon.
Wiz malkovris la tielnomitan NotLegit vundeblecon en Azure App Service. La servo, ankaŭ konata kiel Azure Web Apps, estas platformo por gastigado de retejoj kaj ret-bazitaj aplikoj. Fontkodo kaj artefaktoj povas esti alŝutitaj al Azure App Service per la Loka Git-ilo. Uzantoj povas agordi Lokan Git-deponejon per la Azure App Service-ujo kaj puŝi la kodon rekte al la servilo.
Laŭ la esploristoj, ĝuste ĉi tie kuŝas la vundebleco. Kiam vi uzas Lokan Git por disvastigi la kodon al la Azure App Service, la git-deponejo estis starigita kun publike alirebla dosierujo, kiun ĉiuj povas aliri.
Pluraj kodlingvoj tuŝitaj
Precipe fontkodo skribita en PHP, Python, Ruby aŭ Node estas vundebla. Ĉi tio estas parte ĉar ĉi tiuj kodlingvoj ofte uzas retservilojn kiel Apache, Nginx kaj Flask. Ĉi tiuj retserviloj ne povas trakti web.config dosierojn. Ĉi tio permesas publikan aliron al menciitaj fontkodaj deponejoj.
Konata de Microsoft
La sekurecaj specialistoj ĉe Wiz jam informis Microsoft pri la vundebleco komence de oktobro ĉi-jare. Microsoft poste fermis ĝin. Ĉiukaze, la spertuloj instigas uzantojn kontroli ĉu ilia fontkodo estas malkaŝita kaj agi por siaj aplikoj.