Wiz 研究团队在 Azure 应用服务中检查到一个不安全的默认个人行为,该行为暴露了应用“Local Git”布署的用 PHP、Python、Ruby 或 Node 撰写的顾客应用软件的源码。Wiz 团队将该系统漏洞取名为“NotLegit”,并强调这一系统漏洞自 2017 年 9 月至今就一直存有,很可能早已被运用。
Wiz 于 2021 年 10 月 7 日向微软公司汇报了这种网络安全问题。微软公司层面在 12 月 7 日至 15 日期内向一些受影响比较严重的客户推送了报警电子邮件,现阶段该系统漏洞早已获得减轻;但也有一小部分客户很有可能仍处于风险性之中,提议尽可能采用保障措施。
依据详细介绍,Azure App Service(也称之为 Azure Web Apps),是一个根据云计算技术的服务平台,用以代管网址和 Web 应用软件。有很多种方式可以将源码和产品工件布署到 Azure App Service,Local Git 便是当中之一。客户根据 Azure App Service 器皿运行 Local Git 库房,并将编码立即发布到云服务器上。
问题取决于,在应用 Local Git 布署方式布署到 Azure App Service 时,git 储存库是在所有人都能够立即浏览的文件目录 (/home/site/wwwroot) 中建立的;Wiz 将这一举动称之为微软公司的一个“癖好”。而为了更好地维护客户的文档,微软公司会在公共性文件目录内的 .git 文件夹名称中增加了一个"web.config"文档,以限定公共性浏览。可是,仅有微软公司的 IIS 网络服务器可以解决"web.config"文档。因而针对一样应用 IIS 布署的 C# 或 ASP.NET 应用软件,此减轻对策是合理的。
但对 PHP、Node、Ruby 和 Python 这种布署在不一样 Web 网络服务器(Apache、Nginx、Flask 等)中的运用来讲,这一减轻对策便会失效,进而造成非常容易遭到进攻。“大部分,网络攻击所需做的就是以总体目标应用软件中获得"/.git"文件目录,并查找其源码。”
危害区域包含:
- 自 2017 年 9 月起,在 Azure 应用服务中应用“Local Git”布署的全部 PHP、Node、Ruby 和 Python 运用。
- 自 2017 年 9 月起,在应用器皿中建立或改动文档后,应用 Git 源码布署在 Azure 应用服务中的全部 PHP、Node、Ruby 和 Python 运用。
对于此事,Microsoft 安全性回应核心在一份公示中回复称,Wiz 汇报的这一问题造成顾客很有可能会不经意中配备要在內容网站根目录中建立的 .git 文件夹名称,进而使她们遭遇数据泄露的风险性。
“这与配备为给予静态数据內容的应用软件融合应用时,会促使别人可以下载不准备公布的文档。大家早已通告了大家觉得因而而遭遇安全风险的不足的一部分顾客,大家将持续与人们的顾客协作,保证它们的手机应用程序的安全性。”
Customer Impact:
- 在內容网站根目录中建立或改动文档后应用 Local Git 布署程序的 App Service Linux 顾客会遭到危害。
- PHP、Node、Python、Ruby 和 Java 应用软件编号以给予静态数据內容:PHP:用以 PHP 运作时的图象被配备为在內容根文件夹名称中保证全部静态数据內容。微软公司层面早已升级了全部 PHP 图象,严禁将 .git 文件夹名称做为静态数据內容给予,做为深度防御措施。Node、Python、Java 和 Ruby:针对这种语言表达,因为运用编程代码操纵它是不是给予静态数据內容,微软公司提议顾客查验编码,以保证仅有相应的编码被给予出去。
但是,并不是全部 Local Git 客户都遭受了危害。在应用软件中创建文件后,根据 Local Git 将编码布署到 App Service Linux 的使用者是唯一受影响群体。且 Azure App Service Windows 不受影响,因为它在根据 IIS 的环境中运行。
微软公司因此采用的详细处理方法为:
- 升级了全部 PHP 图象以严禁将 .git 文件夹名称做为静态数据內容给予,做为深度防御措施。
- 通告因激话当地布署而遭到危害的顾客,并给予相关如何缓解问题的指导。还通告了将 .git 文件夹名称上传入內容文件目录的顾客。
- 升级了安全性提议文本文档,提升了相关维护源码的一部分。与此同时升级了当地布署的文本文档。
因为汇报了这一系统漏洞,Wiz 层面还获取了来源于微软公司的 7500 美金悬赏金,但该企业准备将该笔资金捐献出来。