Microsoft remediază o vulnerabilitate critică în Azure CLI

Microsoft a remediat o vulnerabilitate critică care ar putea permite atacatorilor să obțină credențiale din acțiunile GitHub sau din log-urile Azure DevOps create cu ajutorul Azure CLI.

Vulnerabilitatea (urmărită ca CVE-2023-36052), permite atacatorilor care au exploatat cu succes vulnerabilitatea să recupereze parole și nume de utilizator în text clar din fișierele de log-uri create de comenzile CLI afectate și publicate de Azure DevOps și/sau GitHub Actions, conform Microsoft.

Utilizatorii care folosesc comenzile CLI trebuie să actualizeze Azure CLI  la versiunea 2.53.1 sau la o versiune ulterioară pentru a fi protejați împotriva riscurilor acestei vulnerabilități. Acest lucru se aplică, de asemenea, utilizatorilor cu log-uri create prin intermediul acestor comenzi prin Azure DevOps și/sau GitHub Actions.

Microsoft a implementat o nouă configurație implicită Azure CLI pentru a spori măsurile de securitate, cu scopul de a preveni divulgarea accidentală a informațiilor sensibile. Setările actualizate restricționează prezentarea informațiilor secrete în rezultatul generat de comenzile de actualizare referitoare la serviciile din familia App Service, inclusiv Web Apps și Functions.

Cu toate acestea, noua configurație implicită va fi implementată pentru utilizatorii care au trecut la cea mai recentă versiunea Azure CLI (2.53.1 și versiunile ulterioare), în timp ce versiunile anterioare (2.53.0 și versiunile anterioare) sunt în continuare vulnerabile.

Totodată, se recomandă actualizarea Azure CLI la versiunea 2.54, pentru a se evita afișarea informațiilor confidențiale în log-uri.

Sursă: https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-critical-azure-cli-flaw-that-leaked-credentials-in-logs/