共计 1373 个字符,预计需要花费 4 分钟才能阅读完成。
12 月 10 日凌晨,Apache 开源我的项目 Log4j2 的近程代码执行破绽细节被公开,作为以后寰球应用最宽泛的 java 日志框架之一。该破绽影响着很多寰球使用量前列的开源组件,如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。而且因为该破绽利用形式简略,一旦有攻击者利用该破绽,就能够在指标服务器上执行任意代码,给被攻击者造成极大危害。破绽被颁布后,厂商马上公布了新版本 log4j-2.15.0-rc1 对破绽进行修复,并在之后更新了 log4j-2.15.0-rc2 进一步对破绽进行了修复。
然而洪水猛兽,只管大家修复 Log4j2 可能曾经有些慌手慌脚,然而繁忙之余还是要分出精力来看看这个新的音讯: 微软 Azure 应用服务中存在一个名为“NotLegit”的破绽,该破绽影响所有通过“本地 Git”部署的 PHP、Node、Ruby 和 Python 利用。
破绽详情
Azure 是用于托管网站和 Web 利用的平台,用户只须要抉择反对的编程语言和操作系统,再应用 FTP、SSH 或通过从 Git 服务提取源代码在 Azure 托管的服务器上实现部署,就能够在 .azurewebsites.net 域中拜访利用。因为使用方便,所以颇受开发者欢送。 而本次破绽就呈现在部署这一步。
失常的状况下,当开发者将 Git 存储库部署到 Web 服务器和存储桶时,因为蕴含敏感数据,因而不会上传 .git 文件夹。然而 Azure 设定,如果利用是通过本地 Git 部署到 Azure,那你的 Git 存储库就会变成所有人都能够拜访的公开目录。当然为了爱护敏感数据不裸露,微软在限度公共拜访的 .git 文件夹中增加了“web.config”文件,让数据只能由微软 LLS 网络服务器解决。
破绽就呈现这里,因为这个只对用 LLS 部署的 C# 或 ASP.NET 利用无效。因为 Web 服务器无奈解决“web.config”文件,因而如果是部署在不同 Web 服务器内的 PHP、Node、Ruby 和 Python 利用,那攻击者只有从指标利用组获取 /.git 目录,就能够失去对应的源代码。
破绽应答
针对本破绽,微软进行了以下应答:
- 更新了所有 PHP 镜像,禁止将 .git 文件夹作为动态内容提供,以作为深度进攻措施。
- 更新了平安倡议文档,减少了无关爱护源代码的局部,还更新了本地部署的文档。
微软曾经于 2021 年 12 月 7 日至 15 日之间通过邮件告诉了被影响用户,提供了缓解问题的具体指导。
如果您没有收到邮件,您也不必第一工夫焦急,因为您可能没有被破绽影响到,不受破绽影响的范畴如下:
- 自 2017 年 9 月以来,在 Azure 应用服务中应用“本地 Git”部署的所有 PHP、Node、Ruby 和 Python 利用。
- 从 2017 年 9 月起,在利用容器中创立或批改文件后,应用 Git 源代码部署在 Azure 应用服务中的所有 PHP、Node、Ruby 和 Python 利用。
而且微软也备注阐明,本次破绽只影响部署在基于 Linux 的 Azure 服务器上的利用。如果您的利用是托管在 Windows Server 零碎上的,也不会受到破绽影响。
本次破绽由云平安供应商 Wiz 发现并提供,微软为其提供了 7500 美元的赏金。
最初,如果您有收到微软邮件告诉,那还是要尽快依据邮件领导实现破绽修复哦~
举荐浏览
如何疾速搞定生产环境 Ansible 我的项目布局?
服务端渲染根底