Turvaspetsialist Wiz hoiatab Microsofti Azure App Service'i haavatavuse eest. Haavatavus paljastab sadu lähtekoodi hoidlaid. Microsoft on pärast seda lekke parandanud.
Wiz avastas Azure App Service'is nn NotLegiti haavatavuse. Teenus, tuntud ka kui Azure Web Apps, on platvorm veebisaitide ja veebipõhiste rakenduste majutamiseks. Lähtekoodi ja artefakte saab Azure App Service'i üles laadida, kasutades tööriista Local Git. Kasutajad saavad Azure App Service'i konteineriga seadistada kohaliku Giti hoidla ja suunata koodi otse serverisse.
Uurijate sõnul peitubki haavatavus just selles. Kui kasutate kohalikku Giti koodi avaldamiseks Azure App Service'ile, seadistati giti hoidla avalikult juurdepääsetava kataloogiga, millele kõik pääsevad juurde.
Mõjutatud on mitu koodikeelt
Eriti haavatav on PHP, Python, Ruby või Node keeles kirjutatud lähtekood. See on osaliselt tingitud sellest, et need koodikeeled kasutavad sageli veebiservereid, nagu Apache, Nginx ja Flask. Need veebiserverid ei saa web.config failidega hakkama. See võimaldab avalikku juurdepääsu nimetatud lähtekoodihoidlatele.
Microsoftile teada
Wizi turvaspetsialistid teavitasid Microsofti haavatavusest juba selle aasta oktoobri alguses. Microsoft on sellest ajast peale selle sulgenud. Igal juhul soovitavad eksperdid kasutajatel kontrollida, kas nende lähtekood on avalikustatud, ja oma rakenduste jaoks midagi ette võtta.