MediaKing-Log4j 漏洞还没忙完，新的漏洞又出现了！

然而“屋漏偏逢连夜雨”，Log4j 2 的漏洞还没解决完，新的漏洞又出现了：据云安全供应商 Wiz 报告，微软 Azure 应用服务中存在一个名为“NotLegit”的漏洞——该漏洞将影响所有通过“本地 Git”部署的 PHP、Node、Ruby 和 Python 应用。

微软旗下的 Azure 应用服务是一个基于云计算、用于托管网站和 Web 应用的平台，因其易于使用，颇受企业及开发者的欢迎：用户需先选择支持的编程语言和操作系统，再使用 FTP、SSH 或通过从 Git 服务（如 GitHub 或私有 Git 存储库）中提取源代码在 Azure 托管的服务器上部署即可。部署成功后，所有人都可以在 .azurewebsites.net 域中访问该应用。而本次 Wiz 研究团队发现的漏洞就是在部署这一步。

一般而言，当开发者将 Git 存储库部署到 Web 服务器和存储桶时，是不会上传 .git 文件夹的，因为其中包含源代码、开发者邮件和其他敏感数据。但 Azure 应用服务有个奇怪的设定：当应用通过“本地 Git”（在 Azure 应用服务容器内启动本地 Git 存储库，即可将代码直接推送到服务器）部署至 Azure 应用服务时，其 Git 存储库是在所有人都可以访问的公开访问目录 (/home/site/wwwroot) 中创建的。为了保护其敏感数据不会暴露，微软会在限制公共访问的 .git 文件夹中添加一个“web.config”文件，只可由微软的 IIS 网络服务器处理。

但 Wiz 研究团队发现，这一措施只对同样用 IIS 部署的 C# 或 ASP.NET 应用有效，对部署在不同 Web 服务器（如 Apache、Nginx、Flask 等）中的 PHP、Node、Ruby 和 Python 应用则有一个 Bug：这些 Web 服务器无法处理“web.config”文件，导致攻击者只要从目标应用中获取“/.git”目录，就可以检索其源代码，应用开发者也就面临信息泄露的风险。

                                                                                                                                                                    MediaKing