Azure CLI は、新たな脆弱性により深刻な危険にさらされている最新の Microsoft 製品です

CVE-2023-36052 では、公開ログ内の機密情報が公開される可能性があります。

CVE-2023-36052

Azure CLI (Azure Command-Line Interface) は機密情報が漏洩する大きなリスクにさらされていると報告されています。 認証情報を含む、誰かがプラットフォーム上の GitHub Actions ログを操作するたびに、 によると 最新のブログ投稿 Microsoft セキュリティ レスポンス センターから。

MSRC は、Azure を微調整することを発見した研究者によって、現在 CVE-2023-36052 と呼ばれているこの脆弱性を認識しました。 CLI コマンドにより、機密データが表示され、継続的インテグレーションおよび継続的デプロイメント (CI/CD) への出力が表示される可能性があります。 ログ。

研究者が Microsoft 製品に脆弱性があることを発見したのはこれが初めてではありません。 今年の初めに、研究者のチームが Microsoft に、Teams が 最新のマルウェアに非常に感染しやすいフィッシング攻撃を含む。 Microsoft製品は非常に脆弱です 2022 年に Microsoft 365 アカウントの 80% がハッキングされた、 一人で。

CVE-2023-36052 脆弱性の脅威は非常に危険であったため、Microsoft はすべてのプラットフォームに対して直ちに措置を講じました。 Azure Pipelines、GitHub Actions、Azure CLI などの Azure 製品と、そのような問題に対処するための改善されたインフラストラクチャ 調整中。

Prisma のレポートに応じて、Microsoft は、より堅牢なシークレット編集を実装するために、Azure Pipelines、GitHub Actions、Azure CLI などのさまざまな製品にわたっていくつかの変更を加えました。 この発見は、顧客が機密情報をリポジトリや CI/CD パイプラインに記録しないようにする必要性が高まっていることを浮き彫りにしました。 セキュリティ リスクを最小限に抑えることは共同責任です。 Microsoft は、シークレットの出力を防止するために Azure CLI の更新プログラムを発行しました。顧客は、ワークロードを保護するための措置を積極的に講じることが期待されています。

マイクロソフト

CVE-2023-36052 の脆弱性により機密情報が失われるリスクを回避するにはどうすればよいでしょうか?

レドモンドに拠点を置くテクノロジー大手は、ユーザーはできるだけ早く Azure CLI を最新バージョン (2.54) に更新する必要があると述べています。 Microsoft は更新後、ユーザーに次のガイドラインに従うことも求めています。

  1. 最新のセキュリティ更新プログラムを受信するには、常に Azure CLI を最新リリースに更新してください。
  2. Azure CLI の出力をログや公的にアクセスできる場所に公開しないでください。 出力値を必要とするスクリプトを開発する場合は、スクリプトに必要なプロパティを必ず除外してください。 ご確認ください 出力形式に関する Azure CLI の情報 そして私たちが推奨するものを実装してください 環境変数をマスクするためのガイダンス。
  3. キーとシークレットを定期的にローテーションします。 一般的なベスト プラクティスとして、お客様は、環境に最適な頻度でキーとシークレットを定期的にローテーションすることをお勧めします。 Azure のキーとシークレットの考慮事項に関する記事を参照してください。 ここ.
  4. Azure サービスのシークレット管理に関するガイダンスを確認する.
  5. GitHub Actions でのセキュリティ強化のための GitHub のベスト プラクティスを確認する.
  6. パブリックにする必要がない限り、GitHub リポジトリがプライベートに設定されていることを確認します。.
  7. Azure Pipelines を保護するためのガイダンスを確認する.

Microsoft は、Azure CLI で CVE-2023-36052 脆弱性が発見されたことを受けて、いくつかの変更を加える予定です。 同社によると、これらの変更の 1 つは、機密性の高い情報を禁止する新しいデフォルト設定の実装です。 Azure からのサービスのコマンドの出力に表示されることからシークレットとしてラベル付けされた情報 家族。CVE-2023-36052

ただし、新しい既定の設定は古いバージョンには実装されないため、ユーザーは Azure CLI の 2.53.1 以降のバージョンに更新する必要があります。

レドモンドに本拠を置くテクノロジー大手は、GitHub Actions と Azure Pipelines により、公に公開される可能性のある Microsoft 発行のキーをより適切に識別して捕捉することができます。 ログ。

Azure CLI を使用している場合は、デバイスと組織を CVE-2023-36052 脆弱性から保護するために、今すぐプラットフォームを最新バージョンに更新してください。

このファイアウォールは、あなたのプライバシーを保護する顔認識をブロックすることができます

このファイアウォールは、あなたのプライバシーを保護する顔認識をブロックすることができますサイバーセキュリティ

今日の世界では、 プライバシーは贅沢です. 多くの企業は、あなたがそれらが存在することさえ知らなくても、巨大なユーザープロファイルデータベースを所有しています。 そのため、インターネット上の多くのものやサービスは無料です。 あなたは彼らが言うことを知っています:何かが無料であるとき、あなたは製品です。幸いなことに、この世界的なプライバシー侵害の傾向には抵抗があります。 ユーザーがデータを可能...

続きを読む
Firefox65の新しいプライバシー機能はバグのために保留にされました

Firefox65の新しいプライバシー機能はバグのために保留にされましたサイバーセキュリティFirefoxガイド

Mozilla Firefoxバージョン65は、一連の新機能をもたらしました。 おそらく最も便利なのは、Windowsコンピューターでトラッカーをブロックするための簡略化されたコントロールパネルです。 この最新バージョンは、 ブラウザのプライバシー およびセキュリティ機能。悪いニュースは、Firefox65が自動更新として利用できなくなったことです。 Mozillaは、ウイルス対策の互換性の...

続きを読む
Windows10の制御フォルダーアクセスを有効にして構成する方法

Windows10の制御フォルダーアクセスを有効にして構成する方法Windows Defenderの問題サイバーセキュリティ

さまざまなPCの問題を修正するには、DriverFixをお勧めします。このソフトウェアは、ドライバーの稼働を維持するため、一般的なコンピューターエラーやハードウェア障害からユーザーを保護します。 3つの簡単なステップで今すぐすべてのドライバーをチェックしてください:DriverFixをダウンロード (検証済みのダウンロードファイル)。 クリック スキャン開始 問題のあるすべてのドライバーを...

続きを読む