成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

Azure應(yīng)用服務(wù)漏洞造成數(shù)百個源碼庫泄露

2022-10-06    分類: 網(wǎng)站建設(shè)

Wiz 研究團隊在 Azure 應(yīng)用服務(wù)中檢測到一個不安全的默認行為,該行為暴露了使用“Local Git”部署的用 PHP、Python、Ruby 或 Node 編寫的客戶應(yīng)用程序的源代碼。Wiz 團隊將該漏洞命名為“NotLegit”,并指出這一漏洞自 2017 年 9 月以來就一直存在,很可能已經(jīng)被利用。

Wiz 于 2021 年 10 月 7 日向微軟報告了這個安全漏洞。微軟方面在 12 月 7 日至 15 日期間向一些受影響嚴重的用戶發(fā)送了警報郵件,目前該漏洞已經(jīng)得到緩解;但還有一小部分用戶可能仍處在風(fēng)險當(dāng)中,建議應(yīng)適當(dāng)采取保護措施。

Azure 應(yīng)用服務(wù)漏洞造成數(shù)百個源碼庫泄露

根據(jù)介紹,Azure App Service(也稱為 Azure Web Apps),是一個基于云計算的平臺,用于托管網(wǎng)站和 Web 應(yīng)用程序。有多種方法可以將源代碼和工件部署到 Azure App Service,Local Git 就是其中之一。用戶通過 Azure App Service 容器啟動 Local Git 倉庫,并將代碼直接推送到服務(wù)器上。

問題在于,在使用 Local Git 部署方法部署到 Azure App Service 時,git 存儲庫是在任何人都可以直接訪問的目錄 (/home/site/wwwroot) 中創(chuàng)建的;Wiz 將此舉稱為微軟的一個“怪癖”。而為了保護用戶的文件,微軟會在公共目錄內(nèi)的 .git 文件夾中添加了一個"web.config"文件,以限制公共訪問。但是,只有微軟的 IIS 網(wǎng)絡(luò)服務(wù)器可以處理"web.config"文件。因此對于同樣使用 IIS 部署的 C# 或 ASP.NET 應(yīng)用程序,此緩解措施是有效的。

但對 PHP、Node、Ruby 和 Python 這些部署在不同 Web 服務(wù)器(Apache、Nginx、Flask 等)中的應(yīng)用而言,這一緩解措施就會無效,從而導(dǎo)致容易受到攻擊?!盎旧?,攻擊者所要做的就是從目標(biāo)應(yīng)用程序中獲取"/.git"目錄,并檢索其源代碼。”

影響范圍包括:

自 2017 年 9 月起,在 Azure 應(yīng)用服務(wù)中使用“Local Git”部署的所有 PHP、Node、Ruby 和 Python 應(yīng)用。 自 2017 年 9 月起,在應(yīng)用容器中創(chuàng)建或修改文件后,使用 Git 源代碼部署在 Azure 應(yīng)用服務(wù)中的所有 PHP、Node、Ruby 和 Python 應(yīng)用。

對此,Microsoft 安全響應(yīng)中心在一份公告中回應(yīng)稱,Wiz 報告的這一問題導(dǎo)致客戶可能會無意中配置要在內(nèi)容根目錄中創(chuàng)建的 .git 文件夾,從而使他們面臨信息泄露的風(fēng)險。

“這與配置為提供靜態(tài)內(nèi)容的應(yīng)用程序結(jié)合使用時,會使得其他人可以下載不打算公開的文件。我們已經(jīng)通知了我們認為因此而面臨風(fēng)險的有限的一部分客戶,我們將繼續(xù)與我們的客戶合作,確保他們的應(yīng)用程序的安全?!?/p>

Customer Impact:

在內(nèi)容根目錄中創(chuàng)建或修改文件后使用 Local Git 部署應(yīng)用程序的 App Service Linux 客戶會受到影響。 PHP、Node、Python、Ruby 和 Java 應(yīng)用程序編碼以提供靜態(tài)內(nèi)容:PHP:用于 PHP 運行時的圖像被配置為在內(nèi)容根文件夾中提供所有靜態(tài)內(nèi)容。微軟方面已經(jīng)更新了所有 PHP 圖像,禁止將 .git 文件夾作為靜態(tài)內(nèi)容提供,作為縱深防御措施。Node、Python、Java 和 Ruby:對于這些語言,由于應(yīng)用程序代碼控制它是否提供靜態(tài)內(nèi)容,微軟建議客戶檢查代碼,以確保只有相關(guān)的代碼被提供出來。

不過,并非所有 Local Git 用戶都受到了影響。在應(yīng)用程序中創(chuàng)建文件后,通過 Local Git 將代碼部署到 App Service Linux 的用戶是唯一受影響人群。且 Azure App Service Windows 不受影響,因為它在基于 IIS 的環(huán)境中運行。

微軟為此采取的具體解決措施為:

更新了所有 PHP 圖像以禁止將 .git 文件夾作為靜態(tài)內(nèi)容提供,作為縱深防御措施。 通知因激活本地部署而受到影響的客戶,并提供有關(guān)如何緩解問題的具體指導(dǎo)。還通知了將 .git 文件夾上傳到內(nèi)容目錄的客戶。 更新了安全建議文檔,增加了有關(guān)保護源代碼的部分。同時更新了本地部署的文檔。

由于報告了這一漏洞,Wiz 方面還獲得了來自微軟的 7500 美元賞金,但該公司計劃將這筆資金捐獻出去。

名稱欄目:Azure應(yīng)用服務(wù)漏洞造成數(shù)百個源碼庫泄露
瀏覽地址:http://jinyejixie.com/news28/202528.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版、定制開發(fā)網(wǎng)站排名、網(wǎng)站設(shè)計公司、虛擬主機、服務(wù)器托管

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站建設(shè)
惠水县| 黔东| 同江市| 漠河县| 娱乐| 宣武区| 桂东县| 新和县| 静海县| 响水县| 绍兴县| 南康市| 卓资县| 永嘉县| 鹤山市| 繁昌县| 特克斯县| 扎囊县| 高安市| 托克托县| 印江| 揭东县| 天祝| 连州市| 苏尼特右旗| 香港| 榆树市| 正安县| 闸北区| 巧家县| 汉阴县| 鄯善县| 内丘县| 峡江县| 梁山县| 大冶市| 赤壁市| 秭归县| 咸丰县| 沧州市| 尼勒克县|