सुरक्षा विशेषज्ञ विज़ ने Microsoft की Azure ऐप सेवा में भेद्यता की चेतावनी दी है। भेद्यता सैकड़ों स्रोत कोड रिपॉजिटरी को उजागर करती है। Microsoft ने तब से लीक को पैच कर दिया है।
Wiz ने Azure ऐप सेवा में तथाकथित NotLegit भेद्यता की खोज की। सेवा, जिसे एज़्योर वेब ऐप्स के रूप में भी जाना जाता है, वेबसाइटों और वेब-आधारित अनुप्रयोगों की मेजबानी के लिए एक मंच है। स्थानीय गिट टूल का उपयोग करके स्रोत कोड और कलाकृतियों को Azure ऐप सेवा पर अपलोड किया जा सकता है। उपयोगकर्ता Azure ऐप सर्विस कंटेनर के साथ एक स्थानीय Git रिपॉजिटरी सेट कर सकते हैं और कोड को सीधे सर्वर पर पुश कर सकते हैं।
शोधकर्ताओं के अनुसार, यही वह जगह है जहां भेद्यता निहित है। Azure ऐप सेवा में कोड को रोल आउट करने के लिए स्थानीय गिट का उपयोग करते समय, गिट भंडार को सार्वजनिक रूप से सुलभ निर्देशिका के साथ स्थापित किया गया था जिसे हर कोई एक्सेस कर सकता है।
कई कोड भाषाएं प्रभावित
विशेष रूप से PHP, Python, Ruby या Node में लिखा गया सोर्स कोड असुरक्षित है। यह आंशिक रूप से इसलिए है क्योंकि ये कोड भाषाएं अक्सर Apache, Nginx और Flask जैसे वेब सर्वर का उपयोग करती हैं। ये वेब सर्वर web.config फाइलों को हैंडल नहीं कर सकते। यह उक्त स्रोत कोड रिपॉजिटरी तक सार्वजनिक पहुंच की अनुमति देता है।
माइक्रोसॉफ्ट के लिए जाना जाता है
Wiz के सुरक्षा विशेषज्ञों ने इस साल अक्टूबर की शुरुआत में पहले ही Microsoft को भेद्यता के बारे में सूचित कर दिया था। Microsoft ने तब से इसे बंद कर दिया है। किसी भी मामले में, विशेषज्ञ उपयोगकर्ताओं से यह जांचने का आग्रह करते हैं कि क्या उनका स्रोत कोड सामने आया है और उनके अनुप्रयोगों के लिए कार्रवाई करने के लिए।