Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Microsoft Azure App Service kusurlu müşteri kaynak kodu

Microsoft Azure App Service kusurlu müşteri kaynak kodu

Web uygulamaları oluşturmak ve barındırmak için Microsoft tarafından yönetilen bir platform olan Azure App Service’te bulunan bir güvenlik açığı, 2017’den bu yana en az dört yıl boyunca PHP, Node, Python, Ruby veya Java müşteri kaynak kodunun açığa çıkmasına neden oldu.

Bulut güvenliği sağlayıcısı Wiz.io’daki araştırmacılar tarafından keşfedilen ve bildirilen sorundan yalnızca Azure App Service Linux müşterileri etkilendi ve Azure App Service Windows müşterileri tarafından dağıtılan IIS tabanlı uygulamalar etkilenmedi.

“NotLegit olarak adlandırdığımız güvenlik açığı, Eylül 2017’den beri var ve muhtemelen vahşi ortamda istismar edildi.” Wiz.io eklendi.

“Küçük müşteri grupları hala potansiyel olarak risk altındadır ve Microsoft’un 7 – 15 Aralık 2021 arasında yayınladığı çeşitli e-posta uyarılarında ayrıntılı olarak açıklandığı gibi uygulamalarını korumak için belirli kullanıcı eylemleri yapmalıdır.”

Araştırmacılar, Azure App Service Linux’taki güvenli olmayan varsayılan davranışın büyük olasılıkla kendi güvenlik açığı bulunan uygulamalarını dağıtarak vahşi ortamda istismar edildiğine dair teorilerini test etti.

Sadece dört gün içinde, tehdit aktörlerinin açıkta kalan kaynak kodu klasörünün içeriğine erişmeye yönelik ilk girişimlerini gördüler.

Açık kaynak koduna erişme girişimleri
Açık kaynak koduna erişme girişimleri (Wiz.io)

Bu, saldırganların NotLegit kusurunu zaten bildiğini ve özellikle açıkta kalan Azure App Service uygulamalarının kaynak kodunu bulmaya çalıştığını gösterse de, bu taramalar açıkta kalan .git klasörleri için normal taramalar olarak da açıklanabilir.

BleepingComputer’ın daha önce bildirdiği gibi, saldırganlar, aşağıdakiler de dahil olmak üzere genel .git klasörlerini bulduktan sonra yüksek profilli kuruluşlara ait dosyalara erişim elde etti. birden fazla Hint hükümeti sitesi ve Birleşmiş Milletler Çevre Programı (UNEP).

Etkilenen Azure App Service uygulamaları, aşağıdaki durumlarda statik içerik sunmak için kodlanmış tüm PHP, Node, Python, Ruby ve Java uygulamalarını içerir:

  • 2013’ten itibaren Azure App Service’te temiz bir varsayılan uygulamada Yerel Git kullanılarak dağıtıldı
  • uygulama kapsayıcısında bir dosya oluşturulduktan veya değiştirildikten sonra herhangi bir Git kaynağı kullanılarak 2013’ten beri Azure App Service’te dağıtılır

Kusur azaltıldı, açıkta kalan müşteriler bilgilendirildi

“MSRC, Wiz.io tarafından bilgilendirildi [..] müşterilerin içerik kökünde oluşturulacak .git klasörünü istemeden yapılandırabileceği ve bu da onları bilgilerin ifşası riskine sokabilecek bir sorunla ilgili,” Microsoft söz konusu bugün.

“Bu, statik içerik sunmak için yapılandırılmış bir uygulama ile birleştirildiğinde, başkalarının kamuya açık olması amaçlanmayan dosyaları indirmesini mümkün kılar.”

Azure App Service ekibi ve MSRC, etkilenen müşterilerin çoğunu kapsayacak şekilde tasarlanmış bir düzeltmeyi zaten uygulamış ve yerinde dağıtımı etkinleştirdikten veya .git klasörünü içerik dizinine yükledikten sonra hala açık olan tüm müşterileri uyarmıştır.

Microsoft, .git klasörünün statik içerik olarak sunulmasına izin vermemek için PHP görüntülerini güncelleyerek kusuru azalttı.

Azure App Service belgeleri de düzgün bir şekilde yeni bir bölümle güncellendi. uygulamaların kaynak kodunun güvenliğini sağlama ve yerinde dağıtımlar.

NotLegit güvenlik açığı ve açıklama zaman çizelgesi hakkında daha fazla teknik ayrıntı şurada bulunabilir: Microsoft’un blog yazısı ve Wiz Araştırma Ekibi’nin raporu.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.