NotLegit નબળાઈ Azure એપ્લિકેશન સેવા સોર્સ કોડને સાર્વજનિક બનાવે છે

સુરક્ષા નિષ્ણાત વિઝ માઇક્રોસોફ્ટની Azure એપ્લિકેશન સેવામાં નબળાઈ વિશે ચેતવણી આપે છે. નબળાઈ સેંકડો સોર્સ કોડ રિપોઝીટરીઝને ખુલ્લી પાડે છે. માઇક્રોસોફ્ટે ત્યારથી લીકને પેચ કર્યું છે.

વિઝે Azure એપ સર્વિસમાં કહેવાતી નોટલેજીટ નબળાઈ શોધી કાઢી. સેવા, જેને Azure Web Apps તરીકે પણ ઓળખવામાં આવે છે, તે વેબસાઈટ્સ અને વેબ-આધારિત એપ્લિકેશનોને હોસ્ટ કરવા માટેનું પ્લેટફોર્મ છે. સ્થાનિક ગિટ ટૂલનો ઉપયોગ કરીને સોર્સ કોડ અને આર્ટિફેક્ટ્સ Azure એપ સર્વિસ પર અપલોડ કરી શકાય છે. વપરાશકર્તાઓ Azure એપ્લિકેશન સેવા કન્ટેનર સાથે સ્થાનિક ગિટ રિપોઝીટરી સેટ કરી શકે છે અને કોડને સીધા સર્વર પર દબાણ કરી શકે છે.

સંશોધકોના મતે, આ તે જ છે જ્યાં નબળાઈ રહેલી છે. જ્યારે એઝ્યુર એપ સર્વિસમાં કોડ રોલ આઉટ કરવા માટે લોકલ ગિટનો ઉપયોગ કરવામાં આવે છે, ત્યારે ગિટ રિપોઝીટરી સાર્વજનિક રીતે સુલભ ડાયરેક્ટરી સાથે સેટ કરવામાં આવી હતી જેને દરેક વ્યક્તિ ઍક્સેસ કરી શકે છે.

કેટલીક કોડ લેંગ્વેજને અસર થઈ છે

ખાસ કરીને PHP, Python, Ruby અથવા Node માં લખાયેલ સોર્સ કોડ સંવેદનશીલ છે. આ અંશતઃ એટલા માટે છે કારણ કે આ કોડ લેંગ્વેજ ઘણીવાર વેબ સર્વર્સ જેમ કે Apache, Nginx અને Flask નો ઉપયોગ કરે છે. આ વેબ સર્વર્સ web.config ફાઇલોને હેન્ડલ કરી શકતા નથી. આ સાર્વજનિક સ્ત્રોત કોડ રીપોઝીટરીઝની ઍક્સેસની મંજૂરી આપે છે.

માઇક્રોસોફ્ટ માટે જાણીતા છે

વિઝના સુરક્ષા નિષ્ણાતોએ આ વર્ષે ઓક્ટોબરની શરૂઆતમાં જ માઇક્રોસોફ્ટને નબળાઈ વિશે જાણ કરી હતી. ત્યારપછી માઇક્રોસોફ્ટે તેને બંધ કરી દીધું છે. કોઈ પણ સંજોગોમાં, નિષ્ણાતો વપરાશકર્તાઓને તેમનો સ્રોત કોડ જાહેર કરવામાં આવ્યો છે કે કેમ તે તપાસવા અને તેમની એપ્લિકેશનો માટે પગલાં લેવા વિનંતી કરે છે.