Уязвимость NotLegit в Azure привела к раскрытию исходного кода репозиториев

Чт 23 Декабрь 2021 08:41

Microsoft без лишнего шума предупредила некоторых клиентов Azure о том, что опасная уязвимость в службе приложений Azure привела к раскрытию исходного кода сотен репозиториев. Подтверждение Microsoft поступило более чем через два месяца после того, как об этом сообщил израильский стартап по облачной безопасности Wiz.

Техногигант «втихую» исправил уязвимость и уведомил об этом «ограниченный круг клиентов», предположительно находящихся в зоне риска. По словам специалистов Microsoft, из-за уязвимости клиенты могли непреднамеренно настроить папку .git для создания в корне содержимого, подвергая себя риску раскрытия информации.

«В сочетании с приложением, настроенным для обслуживания статического контента, проблема позволяла загружать файлы, не предназначенные для общего доступа. Мы уведомили ограниченную группу клиентов, которые, по нашему мнению, подвергаются риску из-за этого, и продолжим работать с нашими клиентами над обеспечением безопасности их приложений», — сообщили в Microsoft.

Компания предупредила, что проблема затрагивала клиентов службы приложений Linux, которые развертывали приложения с помощью Local Git после создания файлов или их изменения в корневом каталоге содержимого.

По словам исследовательской группы Wiz, уязвимость можла привести к раскрытию исходного кода клиентских приложений, написанных на PHP, Python, Ruby или Node, которые были развернуты с использованием Local Git.

«Уязвимость, которую мы назвали NotLegit, существует с сентября 2017 года и, вероятно, эксплуатировалась в реальных атаках. Поскольку этот метод эксплуатации чрезвычайно прост, распространен и активно используется, мы рекомендуем всем затронутым пользователям ознакомиться с исходным кодом своего приложения и оценить потенциальный риск», — предупредила компания.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 301 день 4 часа 58 минут 25 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.