Azure CLI는 새로운 취약점으로 인해 심각한 위험에 처해 있는 최신 Microsoft 제품입니다.

How to effectively deal with bots on your site? The best protection against click fraud.

CVE-2023-36052는 공개 로그에 기밀 정보를 노출할 수 있습니다.

CVE-2023-36052

Azure CLI(Azure Command-Line Interface)는 민감한 정보를 노출할 위험이 큰 것으로 알려졌습니다. 자격 증명을 포함하여 누군가 플랫폼의 GitHub Actions 로그와 상호 작용할 때마다 ~에 따르면 최신 블로그 게시물 Microsoft 보안 대응 센터에서.

MSRC는 Azure를 조정하는 것을 발견한 연구원에 의해 현재 CVE-2023-36052라고 불리는 취약점을 알게 되었습니다. CLI 명령으로 CI/CD(지속적 통합 및 지속적 배포)에 민감한 데이터 및 출력이 표시될 수 있음 로그.

연구원들이 Microsoft 제품이 취약하다는 사실을 발견한 것은 이번이 처음이 아닙니다. 올해 초 연구원 팀은 Microsoft에 Teams가 있다는 사실을 알렸습니다. 최신 악성 코드에 취약함, 피싱 공격 포함. Microsoft 제품은 매우 취약합니다. 2022년에는 Microsoft 365 계정의 80%가 해킹당했습니다., 홀로.

CVE-2023-36052 취약점의 위협은 너무나 위험했기 때문에 Microsoft는 즉시 모든 플랫폼에 걸쳐 조치를 취했습니다. Azure Pipelines, GitHub Actions, Azure CLI를 포함한 Azure 제품과 이러한 문제에 더 잘 저항할 수 있는 향상된 인프라 조정.

Prisma의 보고서에 대응하여 Microsoft는 보다 강력한 비밀 수정을 구현하기 위해 Azure Pipelines, GitHub Actions 및 Azure CLI를 포함한 다양한 제품 전반에 걸쳐 몇 가지 변경 사항을 적용했습니다. 이번 발견은 고객이 리포지토리 및 CI/CD 파이프라인에 민감한 정보를 기록하지 않도록 해야 할 필요성이 증가하고 있음을 강조합니다. 보안 위험을 최소화하는 것은 공동 책임입니다. Microsoft는 비밀이 출력되는 것을 방지하기 위해 Azure CLI에 대한 업데이트를 발표했으며 고객은 워크로드를 보호하기 위한 조치를 적극적으로 취해야 합니다.

마이크로소프트
instagram story viewer

CVE-2023-36052 취약점으로 인해 중요한 정보가 손실되는 위험을 방지하려면 어떻게 해야 합니까?

레드몬드에 본사를 둔 거대 기술 기업은 사용자가 가능한 한 빨리 Azure CLI를 최신 버전(2.54)으로 업데이트해야 한다고 말합니다. 업데이트 후 Microsoft는 사용자가 다음 지침을 따르기를 원합니다.

  1. 최신 보안 업데이트를 받으려면 항상 Azure CLI를 최신 릴리스로 업데이트하세요.
  2. Azure CLI 출력을 로그 및/또는 공개적으로 액세스할 수 있는 위치에 노출하지 마세요. 출력 값이 필요한 스크립트를 개발하는 경우 스크립트에 필요한 속성을 필터링해야 합니다. 검토하시기 바랍니다 출력 형식에 관한 Azure CLI 정보 권장사항을 구현하세요. 환경 변수를 마스킹하기 위한 지침입니다.
  3. 키와 보안 비밀을 정기적으로 교체하세요. 일반적인 모범 사례에 따라 고객은 자신의 환경에 가장 적합한 흐름에 따라 키와 비밀을 정기적으로 교체하는 것이 좋습니다. Azure의 키 및 비밀 고려 사항에 대한 문서를 참조하세요. 여기.
  4. Azure 서비스의 비밀 관리에 대한 지침을 검토하세요..
  5. GitHub Actions의 보안 강화를 위한 GitHub 모범 사례를 검토하세요..
  6. GitHub 저장소가 공개로 설정될 필요가 없는 한 비공개로 설정되어 있는지 확인하세요..
  7. Azure Pipelines 보안에 대한 지침을 검토하세요..

Microsoft는 Azure CLI에서 CVE-2023-36052 취약점이 발견된 후 몇 가지 사항을 변경할 예정입니다. 회사에 따르면 이러한 변경 사항 중 하나는 민감한 정보를 방지하는 새로운 기본 설정을 구현하는 것입니다. Azure의 서비스에 대한 명령 출력에 비밀로 레이블이 지정된 정보가 표시되지 않습니다. 가족.CVE-2023-36052

그러나 이전 버전에서는 새로운 기본 설정이 구현되지 않으므로 사용자는 Azure CLI 2.53.1 이상 버전으로 업데이트해야 합니다.

레드먼드에 본사를 둔 거대 기술 기업은 GitHub Actions와 공개적으로 노출될 수 있는 Microsoft 발급 키를 더 잘 식별하고 포착하는 Azure Pipelines 로그.

Azure CLI를 사용하는 경우 CVE-2023-36052 취약점으로부터 장치와 조직을 보호하려면 지금 바로 플랫폼을 최신 버전으로 업데이트하세요.

Teachs.ru

이 무료 도구로 데이터를 암호화 한 랜섬웨어 식별사이버 보안

멀웨어 프로그램은 사용자가 알지 못하는 사이에 컴퓨터를 감염시킬 수 있으며 자동으로 작동하면서 추적 정보를 추출합니다. 반면에 랜섬웨어와 같은 멀웨어는 매우 분명하여 그 존재를 숨기려고 노력하지 않습니다.랜섬웨어는 감염된 컴퓨터 시스템에 대한 액세스를 제한하는 악성 프로그램으로 시스템에 다시 액세스하기 위해 사용자가 몸값을 지불하도록 요구합니다. 랜섬...

더 읽어보기
Chrome의 새로운 개인 정보 보호 모드는 DuckDuckGo를 사용하여 데이터를 보호합니다.

Chrome의 새로운 개인 정보 보호 모드는 DuckDuckGo를 사용하여 데이터를 보호합니다.사이버 보안덕 덕고

Chrome 문제를 해결하는 대신 더 나은 브라우저를 사용해 볼 수 있습니다. 오페라더 나은 브라우저가 필요합니다! 3 억 5 천만 명이 매일 Opera를 사용합니다. Opera는 다양한 기본 제공 패키지, 향상된 리소스 소비 및 뛰어난 디자인과 함께 제공되는 완전한 탐색 경험입니다. Opera가 할 수있는 작업은 다음과 같습니다.간편한 마이그레이션:...

더 읽어보기
Windows 10 암호 관리자 버그로 인해 해커가 암호를 훔칠 수 있습니다.

Windows 10 암호 관리자 버그로 인해 해커가 암호를 훔칠 수 있습니다.윈도우 10사이버 보안

Google의 보안 연구원 인 Tavis Ormandy는 최근 Windows 10의 암호 관리자에 숨어있는 취약점을 발견했습니다. 이 버그를 통해 사이버 공격자는 암호를 훔치다.이 결함은 모든 Windows 10 장치에 사전 설치된 타사 Keeper 암호 관리자 응용 프로그램과 함께 제공됩니다. 이 결함은 동일한 보안 연구원이 2016 년에 발견 한 ...

더 읽어보기
ig stories viewer