CVE-2023-36052 सार्वजनिक लॉग में गोपनीय जानकारी उजागर कर सकता है।
कथित तौर पर Azure CLI (Azure Command-Line Interface) से संवेदनशील जानकारी उजागर होने का बड़ा ख़तरा था, क्रेडेंशियल सहित, जब भी कोई प्लेटफ़ॉर्म पर GitHub Actions लॉग के साथ इंटरैक्ट करेगा, के अनुसार नवीनतम ब्लॉग पोस्ट Microsoft सुरक्षा प्रतिक्रिया केंद्र से.
MSRC को एक शोधकर्ता द्वारा भेद्यता के बारे में अवगत कराया गया, जिसे अब CVE-2023-36052 कहा जाता है, जिसने पाया कि Azure में बदलाव किया गया है सीएलआई कमांड सतत एकीकरण और सतत परिनियोजन (सीआई/सीडी) के लिए संवेदनशील डेटा और आउटपुट दिखा सकते हैं। लॉग.
यह पहली बार नहीं है जब शोधकर्ताओं को पता चला कि Microsoft उत्पाद असुरक्षित हैं। इस साल की शुरुआत में, शोधकर्ताओं की एक टीम ने माइक्रोसॉफ्ट को अवगत कराया कि टीमें हैं आधुनिक मैलवेयर के प्रति अत्यधिक संवेदनशील, जिसमें फ़िशिंग हमले भी शामिल हैं। Microsoft उत्पाद बहुत असुरक्षित हैं कि 2022 में Microsoft 365 खातों में से 80% खाते हैक कर लिए गए थे, अकेला।
CVE-2023-36052 भेद्यता का ख़तरा इतना ख़तरनाक था कि Microsoft ने तुरंत सभी प्लेटफ़ॉर्म पर कार्रवाई की और Azure उत्पाद, जिनमें Azure पाइपलाइन, GitHub Actions और Azure CLI शामिल हैं, और ऐसे बेहतर प्रतिरोध के लिए बेहतर बुनियादी ढाँचा शामिल हैं फेरबदल
प्रिज्मा की रिपोर्ट के जवाब में, माइक्रोसॉफ्ट ने अधिक मजबूत गुप्त रिडक्शन को लागू करने के लिए एज़्योर पाइपलाइन, गिटहब एक्शन और एज़्योर सीएलआई सहित विभिन्न उत्पादों में कई बदलाव किए हैं। यह खोज यह सुनिश्चित करने में मदद करने की बढ़ती आवश्यकता पर प्रकाश डालती है कि ग्राहक संवेदनशील जानकारी को अपने रेपो और सीआई/सीडी पाइपलाइनों में लॉग नहीं कर रहे हैं। सुरक्षा जोखिम को कम करना एक साझा जिम्मेदारी है; Microsoft ने रहस्यों को आउटपुट होने से रोकने में मदद करने के लिए Azure CLI के लिए एक अपडेट जारी किया है और ग्राहकों से अपेक्षा की जाती है कि वे अपने कार्यभार को सुरक्षित करने के लिए कदम उठाने में सक्रिय रहें।
माइक्रोसॉफ्ट
CVE-2023-36052 भेद्यता के कारण संवेदनशील जानकारी खोने के जोखिम से बचने के लिए आप क्या कर सकते हैं?
रेडमंड स्थित टेक दिग्गज का कहना है कि उपयोगकर्ताओं को जितनी जल्दी हो सके Azure CLI को नवीनतम संस्करण (2.54) में अपडेट करना चाहिए। अपडेट करने के बाद Microsoft यह भी चाहता है कि उपयोगकर्ता इस दिशानिर्देश का पालन करें:
- नवीनतम सुरक्षा अद्यतन प्राप्त करने के लिए हमेशा Azure CLI को नवीनतम रिलीज़ में अद्यतन करें।
- Azure CLI आउटपुट को लॉग और/या सार्वजनिक रूप से सुलभ स्थानों में उजागर करने से बचें। यदि ऐसी स्क्रिप्ट विकसित कर रहे हैं जिसके लिए आउटपुट मान की आवश्यकता है, तो सुनिश्चित करें कि आप स्क्रिप्ट के लिए आवश्यक संपत्ति को फ़िल्टर कर दें। समीक्षा करें आउटपुट स्वरूपों के संबंध में Azure CLI जानकारी और हमारी अनुशंसा लागू करें पर्यावरण चर को छुपाने के लिए मार्गदर्शन।
- कुंजियों और रहस्यों को नियमित रूप से घुमाएँ। एक सामान्य सर्वोत्तम अभ्यास के रूप में, ग्राहकों को नियमित रूप से कुंजियों और रहस्यों को एक ताल पर घुमाने के लिए प्रोत्साहित किया जाता है जो उनके पर्यावरण के लिए सबसे अच्छा काम करता है। Azure में प्रमुख और गुप्त विचारों पर हमारा लेख देखें यहाँ.
- Azure सेवाओं के लिए रहस्य प्रबंधन से संबंधित मार्गदर्शन की समीक्षा करें.
- GitHub क्रियाओं में सुरक्षा को मजबूत करने के लिए GitHub सर्वोत्तम प्रथाओं की समीक्षा करें.
- सुनिश्चित करें कि GitHub रिपॉजिटरी निजी पर सेट हैं, जब तक कि अन्यथा सार्वजनिक होने की आवश्यकता न हो.
- Azure पाइपलाइनों को सुरक्षित करने के लिए मार्गदर्शन की समीक्षा करें.
Azure CLI पर CVE-2023-36052 भेद्यता की खोज के बाद Microsoft कुछ बदलाव करेगा। कंपनी का कहना है कि इन बदलावों में से एक नई डिफ़ॉल्ट सेटिंग का कार्यान्वयन है जो संवेदनशील होने से रोकता है Azure से सेवाओं के लिए कमांड के आउटपुट में प्रस्तुत की जाने वाली जानकारी को गुप्त के रूप में लेबल किया गया है परिवार।
हालाँकि, उपयोगकर्ताओं को Azure CLI के 2.53.1 और उससे ऊपर के संस्करण में अपडेट करना होगा, क्योंकि नई डिफ़ॉल्ट सेटिंग पुराने संस्करणों पर लागू नहीं की जाएगी।
रेडमंड-आधारित तकनीकी दिग्गज GitHub Actions और दोनों में रिडक्शन क्षमताओं का विस्तार कर रहा है Microsoft द्वारा जारी की गई किसी भी कुंजी को बेहतर ढंग से पहचानने और पकड़ने के लिए Azure पाइपलाइन, जिसे सार्वजनिक रूप से उजागर किया जा सकता है लॉग.
यदि आप Azure CLI का उपयोग करते हैं, तो अपने डिवाइस और अपने संगठन को CVE-2023-36052 भेद्यता से बचाने के लिए प्लेटफ़ॉर्म को अभी नवीनतम संस्करण में अपडेट करना सुनिश्चित करें।
