NotLegitの脆弱性AzureAppServiceがソースコードを公開

セキュリティスペシャリストのWizは、MicrosoftのAzureAppServiceの脆弱性について警告しています。 この脆弱性により、何百ものソースコードリポジトリが公開されます。 マイクロソフトはそれ以来、リークにパッチを当てています。

Wizは、AzureAppServiceにいわゆるNotLegitの脆弱性を発見しました。 このサービスは、Azure Web Appsとも呼ばれ、WebサイトおよびWebベースのアプリケーションをホストするためのプラットフォームです。 ソースコードとアーティファクトは、LocalGitツールを使用してAzureAppServiceにアップロードできます。 ユーザーは、Azure App Serviceコンテナーを使用してローカルGitリポジトリーをセットアップし、コードをサーバーに直接プッシュできます。

研究者によると、これはまさに脆弱性が存在する場所です。 LocalGitを使用してコードをAzureAppServiceにロールアウトする場合、gitリポジトリは、誰もがアクセスできるパブリックにアクセス可能なディレクトリでセットアップされました。

影響を受けるいくつかのコード言語

特に、PHP、Python、Ruby、またはNodeで記述されたソースコードは脆弱です。 これは、これらのコード言語がApache、Nginx、FlaskなどのWebサーバーを使用することが多いためです。 これらのWebサーバーはweb.configファイルを処理できません。 これにより、上記のソースコードリポジトリへのパブリックアクセスが可能になります。

Microsoftに知られている

Wizのセキュリティスペシャリストは、今年XNUMX月の初めにすでにMicrosoftに脆弱性を通知していました。 マイクロソフトはそれ以来それを閉鎖しました。 いずれにせよ、専門家はユーザーに、ソースコードが公開されているかどうかを確認し、アプリケーションに対してアクションを実行するように促します。