2022-10-06 分類(lèi): 網(wǎng)站建設(shè)
Wiz 研究團(tuán)隊(duì)在 Azure 應(yīng)用服務(wù)中檢測(cè)到一個(gè)不安全的默認(rèn)行為,該行為暴露了使用“Local Git”部署的用 PHP、Python、Ruby 或 Node 編寫(xiě)的客戶應(yīng)用程序的源代碼。Wiz 團(tuán)隊(duì)將該漏洞命名為“NotLegit”,并指出這一漏洞自 2017 年 9 月以來(lái)就一直存在,很可能已經(jīng)被利用。
Wiz 于 2021 年 10 月 7 日向微軟報(bào)告了這個(gè)安全漏洞。微軟方面在 12 月 7 日至 15 日期間向一些受影響嚴(yán)重的用戶發(fā)送了警報(bào)郵件,目前該漏洞已經(jīng)得到緩解;但還有一小部分用戶可能仍處在風(fēng)險(xiǎn)當(dāng)中,建議應(yīng)適當(dāng)采取保護(hù)措施。
根據(jù)介紹,Azure App Service(也稱(chēng)為 Azure Web Apps),是一個(gè)基于云計(jì)算的平臺(tái),用于托管網(wǎng)站和 Web 應(yīng)用程序。有多種方法可以將源代碼和工件部署到 Azure App Service,Local Git 就是其中之一。用戶通過(guò) Azure App Service 容器啟動(dòng) Local Git 倉(cāng)庫(kù),并將代碼直接推送到服務(wù)器上。
問(wèn)題在于,在使用 Local Git 部署方法部署到 Azure App Service 時(shí),git 存儲(chǔ)庫(kù)是在任何人都可以直接訪問(wèn)的目錄 (/home/site/wwwroot) 中創(chuàng)建的;Wiz 將此舉稱(chēng)為微軟的一個(gè)“怪癖”。而為了保護(hù)用戶的文件,微軟會(huì)在公共目錄內(nèi)的 .git 文件夾中添加了一個(gè)"web.config"文件,以限制公共訪問(wèn)。但是,只有微軟的 IIS 網(wǎng)絡(luò)服務(wù)器可以處理"web.config"文件。因此對(duì)于同樣使用 IIS 部署的 C# 或 ASP.NET 應(yīng)用程序,此緩解措施是有效的。
但對(duì) PHP、Node、Ruby 和 Python 這些部署在不同 Web 服務(wù)器(Apache、Nginx、Flask 等)中的應(yīng)用而言,這一緩解措施就會(huì)無(wú)效,從而導(dǎo)致容易受到攻擊?!盎旧?,攻擊者所要做的就是從目標(biāo)應(yīng)用程序中獲取"/.git"目錄,并檢索其源代碼?!?/p>
影響范圍包括:
自 2017 年 9 月起,在 Azure 應(yīng)用服務(wù)中使用“Local Git”部署的所有 PHP、Node、Ruby 和 Python 應(yīng)用。 自 2017 年 9 月起,在應(yīng)用容器中創(chuàng)建或修改文件后,使用 Git 源代碼部署在 Azure 應(yīng)用服務(wù)中的所有 PHP、Node、Ruby 和 Python 應(yīng)用。對(duì)此,Microsoft 安全響應(yīng)中心在一份公告中回應(yīng)稱(chēng),Wiz 報(bào)告的這一問(wèn)題導(dǎo)致客戶可能會(huì)無(wú)意中配置要在內(nèi)容根目錄中創(chuàng)建的 .git 文件夾,從而使他們面臨信息泄露的風(fēng)險(xiǎn)。
“這與配置為提供靜態(tài)內(nèi)容的應(yīng)用程序結(jié)合使用時(shí),會(huì)使得其他人可以下載不打算公開(kāi)的文件。我們已經(jīng)通知了我們認(rèn)為因此而面臨風(fēng)險(xiǎn)的有限的一部分客戶,我們將繼續(xù)與我們的客戶合作,確保他們的應(yīng)用程序的安全?!?/p>
Customer Impact:
在內(nèi)容根目錄中創(chuàng)建或修改文件后使用 Local Git 部署應(yīng)用程序的 App Service Linux 客戶會(huì)受到影響。 PHP、Node、Python、Ruby 和 Java 應(yīng)用程序編碼以提供靜態(tài)內(nèi)容:PHP:用于 PHP 運(yùn)行時(shí)的圖像被配置為在內(nèi)容根文件夾中提供所有靜態(tài)內(nèi)容。微軟方面已經(jīng)更新了所有 PHP 圖像,禁止將 .git 文件夾作為靜態(tài)內(nèi)容提供,作為縱深防御措施。Node、Python、Java 和 Ruby:對(duì)于這些語(yǔ)言,由于應(yīng)用程序代碼控制它是否提供靜態(tài)內(nèi)容,微軟建議客戶檢查代碼,以確保只有相關(guān)的代碼被提供出來(lái)。不過(guò),并非所有 Local Git 用戶都受到了影響。在應(yīng)用程序中創(chuàng)建文件后,通過(guò) Local Git 將代碼部署到 App Service Linux 的用戶是唯一受影響人群。且 Azure App Service Windows 不受影響,因?yàn)樗诨?IIS 的環(huán)境中運(yùn)行。
微軟為此采取的具體解決措施為:
更新了所有 PHP 圖像以禁止將 .git 文件夾作為靜態(tài)內(nèi)容提供,作為縱深防御措施。 通知因激活本地部署而受到影響的客戶,并提供有關(guān)如何緩解問(wèn)題的具體指導(dǎo)。還通知了將 .git 文件夾上傳到內(nèi)容目錄的客戶。 更新了安全建議文檔,增加了有關(guān)保護(hù)源代碼的部分。同時(shí)更新了本地部署的文檔。由于報(bào)告了這一漏洞,Wiz 方面還獲得了來(lái)自微軟的 7500 美元賞金,但該公司計(jì)劃將這筆資金捐獻(xiàn)出去。
名稱(chēng)欄目:Azure應(yīng)用服務(wù)漏洞造成數(shù)百個(gè)源碼庫(kù)泄露
瀏覽地址:http://m.rwnh.cn/news28/202528.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版、定制開(kāi)發(fā)、網(wǎng)站排名、網(wǎng)站設(shè)計(jì)公司、虛擬主機(jī)、服務(wù)器托管
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容