Spesialis keamanan Wiz ngelingake babagan kerentanan ing Layanan Aplikasi Azure Microsoft. Kerentanan kasebut nyedhiyakake atusan repositori kode sumber. Microsoft wiwit nambal bocor kasebut.
Wiz nemokake sing diarani kerentanan NotLegit ing Layanan Aplikasi Azure. Layanan kasebut, uga dikenal minangka Aplikasi Web Azure, minangka platform kanggo hosting situs web lan aplikasi basis web. Kode sumber lan artefak bisa diunggah menyang Layanan Aplikasi Azure nggunakake alat Git Lokal. Pangguna bisa nyiyapake repositori Git Lokal kanthi wadhah Layanan Aplikasi Azure lan push kode kasebut langsung menyang server.
Miturut peneliti, iki persis ing endi kerentanan kasebut. Nalika nggunakake Local Git kanggo muter kode menyang Azure App Service, gudang git disetel karo direktori sing bisa diakses umum sing bisa diakses kabeh wong.
Sawetara basa kode kena pengaruh
Utamane kode sumber sing ditulis ing PHP, Python, Ruby utawa Node rentan. Iki sebagian amarga basa kode iki asring nggunakake server web kayata Apache, Nginx lan Flask. Server web iki ora bisa nangani file web.config. Iki ngidini akses umum menyang repositori kode sumber kasebut.
Dikenal karo Microsoft
Spesialis keamanan ing Wiz wis ngandhani Microsoft babagan kerentanan kasebut ing awal Oktober taun iki. Microsoft wis wiwit ditutup. Ing kasus apa wae, para ahli njaluk supaya pangguna mriksa manawa kode sumber wis dicethakaké lan njupuk tindakan kanggo aplikasi kasebut.