出品|开源中国
文|白开水
Wiz 研究团队在 Azure 应用服务中检测到一个不安全的默认行为 , 该行为暴露了使用“Local Git”部署的用 PHP、Python、Ruby 或 Node 编写的客户应用程序的源代码 。 Wiz 团队将该漏洞命名为“NotLegit” , 并指出这一漏洞自 2017 年 9 月以来就一直存在 , 很可能已经被利用 。
Wiz 于 2021 年 10 月 7 日向微软报告了这个安全漏洞 。 微软方面在 12 月 7 日至 15 日期间向一些受影响严重的用户发送了警报邮件 , 目前该漏洞已经得到缓解;但还有一小部分用户可能仍处在风险当中 , 建议应适当采取保护措施 。
根据 , Azure App Service(也称为 Azure Web Apps) , 是一个基于云计算的平台 , 用于托管网站和 Web 应用程序 。 有多种方法可以将源代码和工件部署到 Azure App Service , Local Git 就是其中之一 。 用户通过 Azure App Service 容器启动 Local Git 仓库 , 并将代码直接推送到服务器上 。问题在于 , 在使用 Local Git 部署方法部署到 Azure App Service 时 , git 存储库是在任何人都可以直接访问的目录 (/home/site/wwwroot) 中创建的;Wiz 将此举称为微软的一个“怪癖” 。 而为了保护用户的文件 , 微软会在公共目录内的 .git 文件夹中添加了一个\"web.config\"文件 , 以限制公共访问 。 但是 , 只有微软的 IIS 网络服务器可以处理\"web.config\"文件 。 因此对于同样使用 IIS 部署的 C# 或 应用程序 , 此缓解措施是有效的 。
但对 PHP、Node、Ruby 和 Python 这些部署在不同 Web 服务器(Apache、Nginx、Flask 等)中的应用而言 , 这一缓解措施就会无效 , 从而导致容易受到攻击 。 “基本上 , 攻击者所要做的就是从目标应用程序中获取\"/.git\"目录 , 并检索其源代码 。 ”
影响范围包括:
- 自 2017 年 9 月起 , 在 Azure 应用服务中使用“Local Git”部署的所有 PHP、Node、Ruby 和 Python 应用 。
- 自 2017 年 9 月起 , 在应用容器中创建或修改文件后 , 使用 Git 源代码部署在 Azure 应用服务中的所有 PHP、Node、Ruby 和 Python 应用 。
“这与配置为提供静态内容的应用程序结合使用时 , 会使得其他人可以下载不打算公开的文件 。 我们已经通知了我们认为因此而面临风险的有限的一部分客户 , 我们将继续与我们的客户合作 , 确保他们的应用程序的安全 。 ”
Customer Impact:
- 【传感器|Azure 应用服务漏洞造成数百个源码库泄露】在内容根目录中创建或修改文件后使用 Local Git 部署应用程序的 App Service Linux 客户会受到影响 。
- PHP、Node、Python、Ruby 和 Java 应用程序编码以提供静态内容:
- PHP:用于 PHP 运行时的图像被配置为在内容根文件夹中提供所有静态内容 。 微软方面已经更新了所有 PHP 图像 , 禁止将 .git 文件夹作为静态内容提供 , 作为纵深防御措施 。
- Node、Python、Java 和 Ruby:对于这些语言 , 由于应用程序代码控制它是否提供静态内容 , 微软建议客户检查代码 , 以确保只有相关的代码被提供出来 。
- 传感器|称年轻,我们怎么做到经济自由?
- 政企|AWS、阿里云、Azure 云计算三巨头的“混战”
- Redmi|看齐小米12!曝Redmi要用索尼IMX766传感器
- 菲利波|微软挖角苹果芯片架构师:为Azure云服务开发定制芯片
- 传感器|差分运放和仪表放大器结构探秘
- 混合|AWS、阿里云、Azure云计算三巨头的"混战"
- 近日|科学家开发出基于FBG传感原理的触觉传感器应用于微创手术组织触诊
- 苹果芯片工程师又被挖!这次是微软,要自研Azure服务器芯片
- 传感器|魅蓝10正式发布:国产芯片加持,699元起。
- 在嘴巴里放入124 个传感器,用舌头发信息