Специјалиста за безбедност Виз упозорава на рањивост у Мицрософт-овој услузи Азуре Апп Сервице. Рањивост открива стотине складишта изворног кода. Мицрософт је од тада закрпио цурење.
Виз је открио такозвану НотЛегит рањивост у услузи Азуре Апп Сервице. Услуга, позната и као Азуре Веб Аппс, је платформа за хостовање веб локација и апликација заснованих на вебу. Изворни код и артефакти могу да се отпреме у Азуре Апп Сервице користећи Локални Гит алат. Корисници могу да подесе локално Гит спремиште са Азуре Апп Сервице контејнером и гурну код директно на сервер.
Према истраживачима, управо ту лежи рањивост. Када користите Локални Гит за увођење кода у Азуре Апп Сервице, гит спремиште је постављено са јавно доступним директоријумом коме сви могу да приступе.
Погођено је неколико кодних језика
Посебно је рањив изворни код написан у ПХП-у, Питхон-у, Руби-у или Ноде-у. Ово је делимично зато што ови језици кода често користе веб сервере као што су Апацхе, Нгинк и Фласк. Ови веб сервери не могу да рукују датотекама веб.цонфиг. Ово омогућава јавни приступ наведеним репозиторијумима изворног кода.
Познато Мицрософту
Стручњаци за безбедност у Виз-у су већ обавестили Мицрософт о рањивости почетком октобра ове године. Мицрософт га је од тада затворио. У сваком случају, стручњаци позивају кориснике да провере да ли је њихов изворни код откривен и да предузму мере за своје апликације.