മൈക്രോസോഫ്റ്റിന്റെ അസൂർ ആപ്പ് സേവനത്തിൽ ഒരു അപകടസാധ്യതയെക്കുറിച്ച് സുരക്ഷാ വിദഗ്ധൻ വിസ് മുന്നറിയിപ്പ് നൽകുന്നു. ഈ അപകടസാധ്യത നൂറുകണക്കിന് സോഴ്സ് കോഡ് ശേഖരണങ്ങളെ തുറന്നുകാട്ടുന്നു. മൈക്രോസോഫ്റ്റ് ചോർച്ച പരിഹരിച്ചു.
അസൂർ ആപ്പ് സേവനത്തിൽ NotLegit കേടുപാടുകൾ എന്ന് വിളിക്കപ്പെടുന്നവ വിസ് കണ്ടെത്തി. Azure Web Apps എന്നും അറിയപ്പെടുന്ന ഈ സേവനം വെബ്സൈറ്റുകളും വെബ് അധിഷ്ഠിത ആപ്ലിക്കേഷനുകളും ഹോസ്റ്റുചെയ്യുന്നതിനുള്ള ഒരു പ്ലാറ്റ്ഫോമാണ്. ലോക്കൽ ജിറ്റ് ടൂൾ ഉപയോഗിച്ച് സോഴ്സ് കോഡും ആർട്ടിഫാക്റ്റുകളും അസൂർ ആപ്പ് സേവനത്തിലേക്ക് അപ്ലോഡ് ചെയ്യാവുന്നതാണ്. അസുർ ആപ്പ് സർവീസ് കണ്ടെയ്നർ ഉപയോഗിച്ച് ഉപയോക്താക്കൾക്ക് ഒരു ലോക്കൽ ജിറ്റ് ശേഖരം സജ്ജീകരിക്കാനും കോഡ് നേരിട്ട് സെർവറിലേക്ക് തള്ളാനും കഴിയും.
ഗവേഷകർ പറയുന്നതനുസരിച്ച്, ഇവിടെയാണ് അപകടസാധ്യത കിടക്കുന്നത്. അസൂർ ആപ്പ് സേവനത്തിലേക്ക് കോഡ് പുറത്തിറക്കാൻ ലോക്കൽ ജിറ്റ് ഉപയോഗിക്കുമ്പോൾ, എല്ലാവർക്കും ആക്സസ് ചെയ്യാൻ കഴിയുന്ന പൊതുവായി ആക്സസ് ചെയ്യാവുന്ന ഡയറക്ടറി ഉപയോഗിച്ചാണ് git ശേഖരം സജ്ജീകരിച്ചിരിക്കുന്നത്.
നിരവധി കോഡ് ഭാഷകളെ ബാധിച്ചു
പ്രത്യേകിച്ച് PHP, Python, Ruby അല്ലെങ്കിൽ Node എന്നിവയിൽ എഴുതിയ സോഴ്സ് കോഡ് ദുർബലമാണ്. ഈ കോഡ് ഭാഷകൾ പലപ്പോഴും Apache, Nginx, Flask തുടങ്ങിയ വെബ് സെർവറുകൾ ഉപയോഗിക്കുന്നതിനാലാണിത്. ഈ വെബ് സെർവറുകൾക്ക് web.config ഫയലുകൾ കൈകാര്യം ചെയ്യാൻ കഴിയില്ല. പറഞ്ഞ സോഴ്സ് കോഡ് റിപ്പോസിറ്ററികളിലേക്ക് ഇത് പൊതു ആക്സസ് അനുവദിക്കുന്നു.
മൈക്രോസോഫ്റ്റിന് അറിയാം
വിസ്സിലെ സുരക്ഷാ വിദഗ്ധർ ഈ വർഷം ഒക്ടോബർ ആദ്യം തന്നെ ഈ അപകടസാധ്യതയെക്കുറിച്ച് മൈക്രോസോഫ്റ്റിനെ അറിയിച്ചിരുന്നു. പിന്നീട് മൈക്രോസോഫ്റ്റ് ഇത് അടച്ചു. എന്തായാലും, തങ്ങളുടെ സോഴ്സ് കോഡ് വെളിപ്പെടുത്തിയിട്ടുണ്ടോ എന്ന് പരിശോധിക്കാനും അവരുടെ ആപ്ലിക്കേഷനുകൾക്കായി നടപടിയെടുക്കാനും വിദഗ്ധർ ഉപയോക്താക്കളോട് അഭ്യർത്ഥിക്കുന്നു.