Անվտանգության մասնագետ Wiz-ը զգուշացնում է Microsoft-ի Azure App Service-ում խոցելիության մասին: Խոցելիությունը բացահայտում է ելակետային կոդի հարյուրավոր պահեստներ: Microsoft-ն այդ ժամանակվանից շտկել է արտահոսքը:
Wiz-ը հայտնաբերել է, այսպես կոչված, NotLegit խոցելիությունը Azure App Service-ում: Ծառայությունը, որը նաև հայտնի է որպես Azure Web Apps, հարթակ է կայքերի և վեբ վրա հիմնված հավելվածների հոսթինգի համար: Աղբյուրի կոդը և արտեֆակտները կարող են վերբեռնվել Azure App Service-ում՝ օգտագործելով Local Git գործիքը: Օգտատերերը կարող են ստեղծել Local Git պահոց Azure App Service կոնտեյներով և կոդը մղել անմիջապես սերվեր:
Ըստ հետազոտողների՝ հենց այստեղ է խոցելիությունը: Երբ օգտագործում եք Local Git-ը՝ կոդը Azure App Service-ում տարածելու համար, git-ի պահոցը ստեղծվել է հանրությանը հասանելի գրացուցակով, որը կարող է մուտք գործել բոլորը:
Տուժած են մի քանի ծածկագրերի լեզուներ
Հատկապես PHP-ով, Python-ով, Ruby-ով կամ Node-ով գրված սկզբնական կոդը խոցելի է։ Սա մասամբ պայմանավորված է նրանով, որ այս կոդերի լեզուները հաճախ օգտագործում են վեբ սերվերներ, ինչպիսիք են Apache, Nginx և Flask: Այս վեբ սերվերները չեն կարող կառավարել web.config ֆայլերը: Սա թույլ է տալիս հանրությանը մուտք գործել նշված կոդերի պահեստներ:
Հայտնի է Microsoft-ին
Wiz-ի անվտանգության մասնագետներն արդեն տեղեկացրել են Microsoft-ին խոցելիության մասին այս տարվա հոկտեմբերի սկզբին։ Microsoft-ը փակել է այն: Ամեն դեպքում, փորձագետները հորդորում են օգտատերերին ստուգել՝ արդյոք բացահայտված է իրենց սկզբնական կոդը, և քայլեր ձեռնարկել իրենց հավելվածների համար։