Exposición del repositorio de origen de Linux de Azure App Service – Centro de respuesta de seguridad de Microsoft

MSRC fue informado por Wiz.io, un proveedor de seguridad en la nube, bajo Divulgación coordinada de vulnerabilidades (CVD) de un problema en el que los clientes pueden configurar involuntariamente la carpeta .git para que se cree en la raíz del contenido, lo que los pondría en riesgo de divulgación de información. Esto, cuando se combina con una aplicación configurada para ofrecer contenido estático, hace posible que otros descarguen archivos que no están destinados a ser públicos. Hemos notificado al subconjunto limitado de clientes que creemos que están en riesgo debido a esto y continuaremos trabajando con nuestros clientes para proteger sus aplicaciones.

Impacto en el cliente:

  • Los clientes de Application Provider Linux que implementaron aplicaciones usando Local Git después de que se crearon o modificaron archivos en el directorio raíz de contenido se ven afectados. Esto sucede porque el sistema intenta preservar los archivos actualmente implementados como parte del contenido del repositorio y activa lo que se conoce como implementaciones in situ por motor de despliegue (requerido).
  • Aplicaciones PHP, Node, Python, Ruby y Java codificadas para ofrecer contenido estático:
    • PHP: las imágenes utilizadas para el tiempo de ejecución de PHP se configuraron para servir todo el contenido estático en la carpeta raíz de contenido. Después de que se nos informó sobre este problema, actualizamos todas las imágenes de PHP para no permitir el servicio de la carpeta .git como contenido estático como una medida de defensa en profundidad.
    • Node, Python, Java y Ruby: para estos lenguajes, dado que el código de la aplicación controla si ofrece contenido estático, recomendamos a los clientes que revisen el código para asegurarse de que solo se entregue el código relevante.

No todos los usuarios de Community Git se vieron afectados. Los clientes que implementaron código en App Services Linux a través de Local Git después de que los archivos ya estaban creados en la aplicación fueron los únicos clientes afectados.

Azure App Company Windows no se ve afectado, ya que se ejecuta en un entorno basado en IIS.

Respuesta de Microsoft:

Microsoft tomó las siguientes medidas después de que se nos informó sobre este problema:

  1. Actualizamos todas las imágenes PHP para no permitir el servicio de la carpeta .git como contenido estático como una medida de defensa en profundidad.
  2. Se notificó a los clientes que se vieron afectados debido a la activación de la implementación en el lugar con orientación específica sobre cómo mitigar el problema. También notificamos a los clientes que tenían la carpeta .git cargada en el directorio de contenido.
  3. Actualizado nuestro Documento de recomendaciones de seguridad con una sección adicional sobre cómo proteger el código fuente. También actualizamos la documentación para implementaciones in situ.

Detalles técnicos:

Algunas aplicaciones net están codificadas para servir todos los archivos de la carpeta de contenido como contenido estático. Si la carpeta .git (que contiene el estado y el historial del repositorio de command de fuente) también se encuentra en la carpeta de contenido de estas aplicaciones, otras personas podrán descargar los archivos mediante solicitudes a la aplicación world wide web.

Los casos en los que la carpeta .git puede estar en la carpeta de contenido son:

  1. Código de aplicación implementado a través de Nearby Git después Los archivos se crearon o modificaron en la raíz de contenido fuera de Git.
  2. Configuración explícita para habilitar implementaciones in situ a través de SCM_REPOSITORY_Path. Esta es una operación de usuario avanzada.
  3. Cuando la carpeta .git se incluye con el código de la aplicación durante implementaciones no GIT en Application Services.

La combinación de la carpeta .git en la carpeta de contenido junto con la aplicación que ofrece contenido estático hace que la aplicación sea prone a la exposición del código fuente.

Wiz.io ha publicado un blog sobre este problema disponible aquí. Nos gustaría agradecer a Wiz.io que encontró este problema y trabajó en estrecha colaboración con Microsoft para ayudar a proteger a nuestros clientes.

El equipo de MSRC



Fuente del articulo