سیکیورٹی ماہر ویز نے مائیکروسافٹ کی Azure ایپ سروس میں خطرے سے خبردار کیا ہے۔ کمزوری سینکڑوں سورس کوڈ کے ذخیروں کو بے نقاب کرتی ہے۔ مائیکروسافٹ نے اس کے بعد لیک کو ٹھیک کردیا ہے۔
ویز نے Azure ایپ سروس میں نام نہاد NotLegit خطرے کو دریافت کیا۔ یہ سروس، جسے Azure Web Apps کے نام سے بھی جانا جاتا ہے، ویب سائٹس اور ویب پر مبنی ایپلی کیشنز کی میزبانی کا ایک پلیٹ فارم ہے۔ لوکل گٹ ٹول کا استعمال کرتے ہوئے ماخذ کوڈ اور نمونے Azure ایپ سروس پر اپ لوڈ کیے جا سکتے ہیں۔ صارفین Azure App سروس کنٹینر کے ساتھ لوکل گٹ ریپوزٹری ترتیب دے سکتے ہیں اور کوڈ کو براہ راست سرور پر دھکیل سکتے ہیں۔
محققین کے مطابق، یہ بالکل وہی جگہ ہے جہاں خطرہ ہے۔ کوڈ کو Azure ایپ سروس میں رول آؤٹ کرنے کے لیے Local Git کا استعمال کرتے وقت، گٹ ریپوزٹری کو عوامی طور پر قابل رسائی ڈائریکٹری کے ساتھ ترتیب دیا گیا تھا جس تک ہر کوئی رسائی حاصل کر سکتا ہے۔
متعدد کوڈ زبانیں متاثر ہوئیں
خاص طور پر پی ایچ پی، ازگر، روبی یا نوڈ میں لکھا ہوا سورس کوڈ کمزور ہے۔ یہ جزوی طور پر ہے کیونکہ یہ کوڈ زبانیں اکثر ویب سرورز جیسے اپاچی، نگینکس اور فلاسک کا استعمال کرتی ہیں۔ یہ ویب سرور web.config فائلوں کو ہینڈل نہیں کرسکتے ہیں۔ یہ عوام کو مذکورہ سورس کوڈ کے ذخیروں تک رسائی کی اجازت دیتا ہے۔
مائیکروسافٹ کو جانا جاتا ہے۔
ویز کے سیکورٹی ماہرین نے پہلے ہی اس سال اکتوبر کے آغاز میں مائیکروسافٹ کو خطرے سے آگاہ کیا تھا۔ مائیکروسافٹ نے اسے بند کر دیا ہے۔ کسی بھی صورت میں، ماہرین صارفین پر زور دیتے ہیں کہ وہ چیک کریں کہ آیا ان کا سورس کوڈ سامنے آیا ہے اور ان کی ایپلی کیشنز کے لیے کارروائی کریں۔