中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

Azure應(yīng)用服務(wù)漏洞造成數(shù)百個(gè)源碼庫(kù)泄露

2022-10-06    分類(lèi): 網(wǎng)站建設(shè)

Wiz 研究團(tuán)隊(duì)在 Azure 應(yīng)用服務(wù)中檢測(cè)到一個(gè)不安全的默認(rèn)行為,該行為暴露了使用“Local Git”部署的用 PHP、Python、Ruby 或 Node 編寫(xiě)的客戶應(yīng)用程序的源代碼。Wiz 團(tuán)隊(duì)將該漏洞命名為“NotLegit”,并指出這一漏洞自 2017 年 9 月以來(lái)就一直存在,很可能已經(jīng)被利用。

Wiz 于 2021 年 10 月 7 日向微軟報(bào)告了這個(gè)安全漏洞。微軟方面在 12 月 7 日至 15 日期間向一些受影響嚴(yán)重的用戶發(fā)送了警報(bào)郵件,目前該漏洞已經(jīng)得到緩解;但還有一小部分用戶可能仍處在風(fēng)險(xiǎn)當(dāng)中,建議應(yīng)適當(dāng)采取保護(hù)措施。

Azure 應(yīng)用服務(wù)漏洞造成數(shù)百個(gè)源碼庫(kù)泄露

根據(jù)介紹,Azure App Service(也稱(chēng)為 Azure Web Apps),是一個(gè)基于云計(jì)算的平臺(tái),用于托管網(wǎng)站和 Web 應(yīng)用程序。有多種方法可以將源代碼和工件部署到 Azure App Service,Local Git 就是其中之一。用戶通過(guò) Azure App Service 容器啟動(dòng) Local Git 倉(cāng)庫(kù),并將代碼直接推送到服務(wù)器上。

問(wèn)題在于,在使用 Local Git 部署方法部署到 Azure App Service 時(shí),git 存儲(chǔ)庫(kù)是在任何人都可以直接訪問(wèn)的目錄 (/home/site/wwwroot) 中創(chuàng)建的;Wiz 將此舉稱(chēng)為微軟的一個(gè)“怪癖”。而為了保護(hù)用戶的文件,微軟會(huì)在公共目錄內(nèi)的 .git 文件夾中添加了一個(gè)"web.config"文件,以限制公共訪問(wèn)。但是,只有微軟的 IIS 網(wǎng)絡(luò)服務(wù)器可以處理"web.config"文件。因此對(duì)于同樣使用 IIS 部署的 C# 或 ASP.NET 應(yīng)用程序,此緩解措施是有效的。

但對(duì) PHP、Node、Ruby 和 Python 這些部署在不同 Web 服務(wù)器(Apache、Nginx、Flask 等)中的應(yīng)用而言,這一緩解措施就會(huì)無(wú)效,從而導(dǎo)致容易受到攻擊?!盎旧?,攻擊者所要做的就是從目標(biāo)應(yīng)用程序中獲取"/.git"目錄,并檢索其源代碼?!?/p>

影響范圍包括:

自 2017 年 9 月起,在 Azure 應(yīng)用服務(wù)中使用“Local Git”部署的所有 PHP、Node、Ruby 和 Python 應(yīng)用。 自 2017 年 9 月起,在應(yīng)用容器中創(chuàng)建或修改文件后,使用 Git 源代碼部署在 Azure 應(yīng)用服務(wù)中的所有 PHP、Node、Ruby 和 Python 應(yīng)用。

對(duì)此,Microsoft 安全響應(yīng)中心在一份公告中回應(yīng)稱(chēng),Wiz 報(bào)告的這一問(wèn)題導(dǎo)致客戶可能會(huì)無(wú)意中配置要在內(nèi)容根目錄中創(chuàng)建的 .git 文件夾,從而使他們面臨信息泄露的風(fēng)險(xiǎn)。

“這與配置為提供靜態(tài)內(nèi)容的應(yīng)用程序結(jié)合使用時(shí),會(huì)使得其他人可以下載不打算公開(kāi)的文件。我們已經(jīng)通知了我們認(rèn)為因此而面臨風(fēng)險(xiǎn)的有限的一部分客戶,我們將繼續(xù)與我們的客戶合作,確保他們的應(yīng)用程序的安全?!?/p>

Customer Impact:

在內(nèi)容根目錄中創(chuàng)建或修改文件后使用 Local Git 部署應(yīng)用程序的 App Service Linux 客戶會(huì)受到影響。 PHP、Node、Python、Ruby 和 Java 應(yīng)用程序編碼以提供靜態(tài)內(nèi)容:PHP:用于 PHP 運(yùn)行時(shí)的圖像被配置為在內(nèi)容根文件夾中提供所有靜態(tài)內(nèi)容。微軟方面已經(jīng)更新了所有 PHP 圖像,禁止將 .git 文件夾作為靜態(tài)內(nèi)容提供,作為縱深防御措施。Node、Python、Java 和 Ruby:對(duì)于這些語(yǔ)言,由于應(yīng)用程序代碼控制它是否提供靜態(tài)內(nèi)容,微軟建議客戶檢查代碼,以確保只有相關(guān)的代碼被提供出來(lái)。

不過(guò),并非所有 Local Git 用戶都受到了影響。在應(yīng)用程序中創(chuàng)建文件后,通過(guò) Local Git 將代碼部署到 App Service Linux 的用戶是唯一受影響人群。且 Azure App Service Windows 不受影響,因?yàn)樗诨?IIS 的環(huán)境中運(yùn)行。

微軟為此采取的具體解決措施為:

更新了所有 PHP 圖像以禁止將 .git 文件夾作為靜態(tài)內(nèi)容提供,作為縱深防御措施。 通知因激活本地部署而受到影響的客戶,并提供有關(guān)如何緩解問(wèn)題的具體指導(dǎo)。還通知了將 .git 文件夾上傳到內(nèi)容目錄的客戶。 更新了安全建議文檔,增加了有關(guān)保護(hù)源代碼的部分。同時(shí)更新了本地部署的文檔。

由于報(bào)告了這一漏洞,Wiz 方面還獲得了來(lái)自微軟的 7500 美元賞金,但該公司計(jì)劃將這筆資金捐獻(xiàn)出去。

名稱(chēng)欄目:Azure應(yīng)用服務(wù)漏洞造成數(shù)百個(gè)源碼庫(kù)泄露
瀏覽地址:http://m.rwnh.cn/news28/202528.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版、定制開(kāi)發(fā)、網(wǎng)站排名、網(wǎng)站設(shè)計(jì)公司虛擬主機(jī)、服務(wù)器托管

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站建設(shè)
嵩明县| 兰考县| 达日县| 五大连池市| 上高县| 石楼县| 临沧市| 翼城县| 会宁县| 西峡县| 新竹县| 余姚市| 道孚县| 潞西市| 承德市| 正蓝旗| 普定县| 临夏县| 萨嘎县| 乐平市| 习水县| 山东省| 元阳县| 咸阳市| 天门市| 民权县| 河南省| 张掖市| 上虞市| 康保县| 宁海县| 汶川县| 略阳县| 体育| 乌什县| 合肥市| 噶尔县| 大城县| 昂仁县| 武乡县| 丹江口市|