सुरक्षा विशेषज्ञ विजले माइक्रोसफ्टको Azure एप सेवामा जोखिमको चेतावनी दिन्छ। जोखिमले सयौं स्रोत कोड भण्डारहरू उजागर गर्दछ। माइक्रोसफ्टले लीक पछि प्याच गरेको छ।
विजले Azure एप सेवामा तथाकथित NotLegit कमजोरी पत्ता लगाए। सेवा, Azure Web Apps को रूपमा पनि चिनिन्छ, वेबसाइटहरू र वेब-आधारित अनुप्रयोगहरू होस्ट गर्ने प्लेटफर्म हो। स्रोत कोड र कलाकृतिहरू स्थानीय Git उपकरण प्रयोग गरेर Azure एप सेवामा अपलोड गर्न सकिन्छ। प्रयोगकर्ताहरूले Azure एप सेवा कन्टेनरसँग स्थानीय Git भण्डार सेटअप गर्न सक्छन् र कोडलाई सीधै सर्भरमा पुश गर्न सक्छन्।
अन्वेषकहरूका अनुसार, यो ठ्याक्कै जहाँ जोखिम निहित छ। Azure एप सेवामा कोड रोल आउट गर्न स्थानीय Git प्रयोग गर्दा, सबैले पहुँच गर्न सक्ने सार्वजनिक रूपमा पहुँचयोग्य डाइरेक्टरीको साथ git भण्डार सेटअप गरिएको थियो।
धेरै कोड भाषाहरू प्रभावित
विशेष गरी PHP, Python, Ruby वा Node मा लेखिएको स्रोत कोड कमजोर छ। यो आंशिक रूपमा हो किनभने यी कोड भाषाहरूले प्राय: वेब सर्भरहरू जस्तै Apache, Nginx र Flask प्रयोग गर्छन्। यी वेब सर्भरहरूले web.config फाइलहरू ह्यान्डल गर्न सक्दैनन्। यसले स्रोत कोड भण्डारहरूमा सार्वजनिक पहुँचलाई अनुमति दिन्छ।
माइक्रोसफ्टलाई थाहा छ
Wiz का सुरक्षा विशेषज्ञहरूले यस वर्ष अक्टोबरको सुरुमा माइक्रोसफ्टलाई कमजोरी बारे जानकारी दिएका थिए। माइक्रोसफ्टले यसलाई बन्द गरेको छ। कुनै पनि अवस्थामा, विशेषज्ञहरूले प्रयोगकर्ताहरूलाई उनीहरूको स्रोत कोड प्रकट गरिएको छ कि छैन भनेर जाँच गर्न र उनीहरूको अनुप्रयोगहरूको लागि कारबाही गर्न आग्रह गर्दछ।