NotLegit zaifligi Azure ilovasi xizmati manba kodini ochiq qiladi

Xavfsizlik bo‘yicha mutaxassis Wiz Microsoft’ning Azure App Service’dagi zaiflik haqida ogohlantiradi. Zaiflik yuzlab manba kodlari omborlarini ochib beradi. O'shandan beri Microsoft oqishni tuzatdi.

Wiz Azure App Service-da NotLegit deb ataladigan zaiflikni topdi. Azure Web Apps sifatida ham tanilgan xizmat veb-saytlar va veb-ilovalarni joylashtirish uchun platformadir. Manba kodi va artefaktlarni Local Git vositasi yordamida Azure App Service-ga yuklash mumkin. Foydalanuvchilar Azure App Service konteyneri bilan Local Git omborini oʻrnatishi va kodni toʻgʻridan-toʻgʻri serverga yuborishi mumkin.

Tadqiqotchilarning fikriga ko'ra, zaiflik aynan shu erda. Azure App Service-ga kodni chiqarish uchun Local Git-dan foydalanilganda, git ombori hamma kirishi mumkin bo'lgan umumiy foydalanish mumkin bo'lgan katalog bilan o'rnatildi.

Bir nechta kod tillari ta'sir qildi

Ayniqsa, PHP, Python, Ruby yoki Node-da yozilgan manba kodi zaifdir. Buning sababi qisman, bu kod tillari ko'pincha Apache, Nginx va Flask kabi veb-serverlardan foydalanadi. Ushbu veb-serverlar web.config fayllarini ishlay olmaydi. Bu ko'rsatilgan manba kodlari omborlariga ommaviy kirish imkonini beradi.

Microsoftga ma'lum

Wiz’ning xavfsizlik bo‘yicha mutaxassislari joriy yilning oktyabr oyi boshida Microsoft’ni zaiflik haqida xabardor qilgan edi. O'shandan beri Microsoft uni yopdi. Qanday bo'lmasin, ekspertlar foydalanuvchilarni manba kodi aniqlangan yoki yo'qligini tekshirishga va ilovalari uchun chora ko'rishga chaqiradi.