/ 中存储网

微软 Azure漏洞被发现暴露了数百个源代码存储库

2021-12-23 23:46:47 来源:安全导航

微软公司的 Azure 应用服务中的一个漏洞被发现暴露了数百个源代码存储库。

Wiz安全研究人员发现并于 12 月 21 日详细说明,该漏洞被称为“NotLegit”,涉及 Azure 应用服务中的不安全默认行为。该漏洞自 2017 年 9 月以来一直存在,它暴露了使用“本地 Git”部署的用 PHP、Python、Ruby 或 Node 编写的客户应用程序的源代码。

微软 Azure漏洞被发现暴露了数百个源代码存储库

Azure App Service,也称为 Azure Web Apps,是一个基于云计算的平台,用于托管网站和 Web 应用程序。有多种方法可以将源代码和工件部署到 Azure 应用服务,本地 Git 就是其中之一。客户使用 Azure 应用服务容器启动本地 Git 存储库,并将代码直接推送到服务器。

微软公司的 Azure 应用服务中的一个漏洞被发现暴露了数百个源代码存储库。

Wiz安全研究人员发现并于 12 月 21 日详细说明,该漏洞被称为“NotLegit”,涉及 Azure 应用服务中的不安全默认行为。该漏洞自 2017 年 9 月以来一直存在,它暴露了使用“本地 Git”部署的用 PHP、Python、Ruby 或 Node 编写的客户应用程序的源代码。

Azure App Service,也称为 Azure Web Apps,是一个基于云计算的平台,用于托管网站和 Web 应用程序。有多种方法可以将源代码和工件部署到 Azure 应用服务,本地 Git 就是其中之一。客户使用 Azure 应用服务容器启动本地 Git 存储库,并将代码直接推送到服务器。

使用本地 Git 是出现问题的地方。在使用本地 Git 部署方法部署到 Azure 应用服务的地方,git 存储库是在任何人都可以直接访问的公开访问中创建的。

研究人员将其描述为 Microsoft 独有的怪癖,为了保护文件,将 web.config 文件添加到公共目录中的 git 文件夹以限制公共访问。但是,只有 Microsoft 的 IIS Web 服务器处理 web.config 文件 — 这适用于使用 IIS 部署的 C# 和 ASP.NET,但不适用于不同的 Web 服务器。

对于 PHP、Ruby、Python 和 Node,部署通常使用不处理 web.config 文件的 Apache、Nginx 和 Flask 等网络服务器。因此,没有提供任何保护,源代码暴露给所有人。

Wiz 研究人员于 10 月 7 日向微软报告了该安全漏洞,现在已经得到缓解。也就是说,他们警告说,一小部分客户仍然可能受到暴露,应该采取某些措施来保护他们的应用程序。微软根据他们在 12 月 7 日至 15 日之间的配置向受影响的人发送了电子邮件通知。

微软还为 Wiz 的努力提供了 7,500 美元的奖金,该公司计划捐赠。

使用本地 Git 是出现问题的地方。在使用本地 Git 部署方法部署到 Azure 应用服务的地方,git 存储库是在任何人都可以直接访问的公开访问中创建的。

研究人员将其描述为 Microsoft 独有的怪癖,为了保护文件,将 web.config 文件添加到公共目录中的 git 文件夹以限制公共访问。但是,只有 Microsoft 的 IIS Web 服务器处理 web.config 文件 — 这适用于使用 IIS 部署的 C# 和 ASP.NET,但不适用于不同的 Web 服务器。

对于 PHP、Ruby、Python 和 Node,部署通常使用不处理 web.config 文件的 Apache、Nginx 和 Flask 等网络服务器。因此,没有提供任何保护,源代码暴露给所有人。

Wiz 研究人员于 10 月 7 日向微软报告了该安全漏洞,现在已经得到缓解。也就是说,他们警告说,一小部分客户仍然可能受到暴露,应该采取某些措施来保护他们的应用程序。微软根据他们在 12 月 7 日至 15 日之间的配置向受影响的人发送了电子邮件通知。

微软还为 Wiz 的努力提供了 7,500 美元的奖金,该公司计划捐赠。