Қауіпсіздік жөніндегі маман Wiz Microsoft корпорациясының Azure қолданбалар қызметіндегі осалдық туралы ескертеді. Осалдық жүздеген бастапқы код репозиторийлерін ашады. Содан бері Microsoft корпорациясы ағып кетуді түзетті.
Wiz Azure App Service қызметінде NotLegit деп аталатын осалдықты тапты. Azure Web Apps ретінде белгілі қызмет веб-сайттар мен веб-негізделген қолданбаларды орналастыруға арналған платформа болып табылады. Бастапқы код пен артефактілерді Local Git құралы арқылы Azure App Service қызметіне жүктеп салуға болады. Пайдаланушылар Local Git репозиторийін Azure App Service контейнерімен орнатып, кодты тікелей серверге жібере алады.
Зерттеушілердің пікірінше, осалдық дәл осы жерде жатыр. Azure қолданба қызметіне кодты шығару үшін Local Git қолданбасын пайдаланған кезде, git репозиторийі барлығына қол жеткізе алатын жалпыға қолжетімді каталогпен орнатылды.
Бірнеше код тілі әсер етті
Әсіресе PHP, Python, Ruby немесе Node тілінде жазылған бастапқы код осал. Бұл ішінара бұл код тілдері Apache, Nginx және Flask сияқты веб-серверлерді жиі пайдаланатындығына байланысты. Бұл веб-серверлер web.config файлдарын өңдей алмайды. Бұл аталған бастапқы код репозиторийлеріне жалпы қолжетімділікке мүмкіндік береді.
Microsoft корпорациясына белгілі
Wiz қауіпсіздік мамандары Microsoft корпорациясына осы жылдың қазан айының басында осалдық туралы хабарлаған. Содан кейін Microsoft оны жапты. Қалай болғанда да, сарапшылар пайдаланушыларды бастапқы кодының ашылғанын тексеріп, қолданбалары үшін шара қолдануға шақырады.