Специјалистот за безбедност Wiz предупредува на ранливост во Azure App Service на Microsoft. Ранливоста изложува стотици складишта на изворниот код. Мајкрософт оттогаш го поправа истекувањето.
Wiz ја откри таканаречената NotLegit ранливост во услугата Azure App. Услугата, позната и како Azure Web Apps, е платформа за хостирање веб-страници и веб-базирани апликации. Изворниот код и артефактите може да се прикачат на услугата Azure App со помош на алатката Local Git. Корисниците можат да постават складиште за Local Git со контејнерот за Azure App Service и да го туркаат кодот директно до серверот.
Според истражувачите, токму тука лежи ранливоста. Кога користите Local Git за да го пренесете кодот до услугата Azure App, складиштето на git беше поставено со јавно достапен директориум до кој секој може да пристапи.
Засегнати се неколку јазици на кодови
Особено изворниот код напишан во PHP, Python, Ruby или Node е ранлив. Ова е делумно затоа што овие јазици на код често користат веб-сервери како што се Apache, Nginx и Flask. Овие веб-сервери не можат да ракуваат со датотеките web.config. Ова овозможува јавен пристап до споменатите складишта на изворниот код.
Познат на Мајкрософт
Специјалистите за безбедност во Wiz веќе го информираа Мајкрософт за ранливоста на почетокот на октомври оваа година. Мајкрософт оттогаш го затвори. Во секој случај, експертите ги повикуваат корисниците да проверат дали нивниот изворен код е откриен и да преземат мерки за нивните апликации.