出品
开源中国
文
白开水
Wiz研究团队在Azure应用服务中检测到一个不安全的默认行为,该行为暴露了使用“LocalGit”部署的用PHP、Python、Ruby或Node编写的客户应用程序的源代码。Wiz团队将该漏洞命名为“NotLegit”,并指出这一漏洞自年9月以来就一直存在,很可能已经被利用。
Wiz于年10月7日向微软报告了这个安全漏洞。微软方面在12月7日至15日期间向一些受影响严重的用户发送了警报邮件,目前该漏洞已经得到缓解;但还有一小部分用户可能仍处在风险当中,建议应适当采取保护措施。
根据介绍,AzureAppService(也称为AzureWebApps),是一个基于云计算的平台,用于托管网站和Web应用程序。有多种方法可以将源代码和工件部署到AzureAppService,LocalGit就是其中之一。用户通过AzureAppService容器启动LocalGit仓库,并将代码直接推送到服务器上。
问题在于,在使用LocalGit部署方法部署到AzureAppService时,git存储库是在任何人都可以直接访问的目录(/home/site/