ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພ Wiz ເຕືອນກ່ຽວກັບຊ່ອງໂຫວ່ໃນການບໍລິການແອັບ Azure ຂອງ Microsoft. ຊ່ອງໂຫວ່ເຮັດໃຫ້ຫຼາຍຮ້ອຍບ່ອນເກັບຂໍ້ມູນລະຫັດແຫຼ່ງ. ຕັ້ງແຕ່ນັ້ນມາ Microsoft ໄດ້ແກ້ໄຂການຮົ່ວໄຫຼ.
Wiz ຄົ້ນພົບອັນທີ່ເອີ້ນວ່າຈຸດອ່ອນຂອງ NotLegit ໃນບໍລິການແອັບ Azure. ການບໍລິການ, ເຊິ່ງເອີ້ນກັນວ່າ Azure Web Apps, ແມ່ນເວທີສໍາລັບການໂຮດເວັບໄຊທ໌ແລະຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌. ລະຫັດແຫຼ່ງແລະສິ່ງປະດິດສາມາດຖືກອັບໂຫລດໄປຍັງບໍລິການ Azure App ໂດຍໃຊ້ເຄື່ອງມື Local Git. ຜູ້ໃຊ້ສາມາດຕັ້ງພື້ນທີ່ເກັບຂໍ້ມູນ Git ທ້ອງຖິ່ນດ້ວຍຕູ້ບໍລິການ Azure App ແລະຍູ້ລະຫັດໂດຍກົງໄປຫາເຄື່ອງແມ່ຂ່າຍ.
ອີງຕາມການນັກຄົ້ນຄວ້າ, ນີ້ແມ່ນຊັດເຈນທີ່ຈຸດອ່ອນແມ່ນຢູ່. ເມື່ອໃຊ້ Git ທ້ອງຖິ່ນເພື່ອເຜີຍແຜ່ລະຫັດໄປຫາ Azure App Service, git repository ໄດ້ຖືກຕັ້ງຄ່າດ້ວຍໄດເລກະທໍລີທີ່ສາມາດເຂົ້າເຖິງສາທາລະນະທີ່ທຸກຄົນສາມາດເຂົ້າເຖິງໄດ້.
ພາສາລະຫັດຈໍານວນຫນຶ່ງໄດ້ຮັບຜົນກະທົບ
ໂດຍສະເພາະແມ່ນລະຫັດແຫຼ່ງທີ່ຂຽນໃນ PHP, Python, Ruby ຫຼື Node ແມ່ນມີຄວາມສ່ຽງ. ນີ້ແມ່ນບາງສ່ວນຍ້ອນວ່າພາສາລະຫັດເຫຼົ່ານີ້ມັກຈະໃຊ້ເຄື່ອງແມ່ຂ່າຍເວັບເຊັ່ນ Apache, Nginx ແລະ Flask. ເຊີບເວີເວັບເຫຼົ່ານີ້ບໍ່ສາມາດຈັດການໄຟລ໌ web.config ໄດ້. ນີ້ອະນຸຍາດໃຫ້ສາທາລະນະເຂົ້າເຖິງ repositories ລະຫັດແຫຼ່ງດັ່ງກ່າວ.
ຮູ້ຈັກກັບ Microsoft
ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຢູ່ Wiz ໄດ້ແຈ້ງໃຫ້ Microsoft ຊາບກ່ຽວກັບຊ່ອງໂຫວ່ໃນຕົ້ນເດືອນຕຸລາປີນີ້. Microsoft ໄດ້ປິດມັນຕັ້ງແຕ່ນັ້ນມາ. ໃນກໍລະນີໃດກໍ່ຕາມ, ຜູ້ຊ່ຽວຊານຮຽກຮ້ອງໃຫ້ຜູ້ໃຊ້ກວດເບິ່ງວ່າລະຫັດແຫຼ່ງຂອງພວກເຂົາໄດ້ຖືກເປີດເຜີຍແລະດໍາເນີນການສໍາລັບຄໍາຮ້ອງສະຫມັກຂອງພວກເຂົາ.