Microsoft hat eine kritische Sicherheitsl\u00fccke geschlossen, die Angreifern erm\u00f6glicht h\u00e4tte, Anmeldeinformationen aus GitHub Actions oder Azure DevOps-Protokollen zu stehlen, die mit der Azure-Befehlszeilenschnittstelle (CLI) erstellt wurden. Die Sicherheitsl\u00fccke mit dem Namen CVE-2023-36052 wurde von Sicherheitsforschern von Palo Alto’s Prisma Cloud entdeckt. Sie stellten fest, dass nicht authentifizierte Angreifer, wenn sie die Sicherheitsl\u00fccke erfolgreich ausnutzen, auf im Klartext geschriebene Inhalte zugreifen k\u00f6nnten, die von Azure CLI in Continuous Integration und Continuous Deployment (CI\/CD)-Protokollen geschrieben wurden.<\/p>\n
Microsoft erkl\u00e4rt, dass ein Angreifer, der diese Sicherheitsl\u00fccke erfolgreich ausnutzt, in der Lage w\u00e4re, Klartext-Passw\u00f6rter und Benutzernamen aus den Protokolldateien wiederherzustellen, die von den betroffenen CLI-Befehlen \u00fcber Azure DevOps und\/oder GitHub Actions ver\u00f6ffentlicht wurden. Um sich vor den Risiken dieser Sicherheitsl\u00fccke zu sch\u00fctzen, m\u00fcssen Kunden, die die betroffenen CLI-Befehle verwenden, ihre Azure CLI-Version auf 2.53.1 oder h\u00f6her aktualisieren. Dies gilt auch f\u00fcr Kunden mit Protokolldateien, die durch die Verwendung dieser Befehle \u00fcber Azure DevOps und\/oder GitHub Actions erstellt wurden.<\/p>\n
Microsoft gibt an, dass Kunden, die k\u00fcrzlich Azure CLI-Befehle verwendet haben, \u00fcber das Azure-Portal benachrichtigt wurden. In einem heute ver\u00f6ffentlichten Blogbeitrag des MSRC empfiehlt Microsoft allen Kunden, auf die neueste Azure CLI-Version (2.54) zu aktualisieren. Zus\u00e4tzlich dazu empfiehlt Microsoft die Durchf\u00fchrung bestimmter Schritte, um eine versehentliche Offenlegung von Geheimnissen in CI\/CD-Protokollen zu verhindern.<\/p>\n
Um die Sicherheitsma\u00dfnahmen zu st\u00e4rken und eine versehentliche Offenlegung sensibler Informationen zu verhindern, hat Microsoft eine neue Standardkonfiguration f\u00fcr Azure CLI implementiert. Diese neue Einstellung beschr\u00e4nkt die Darstellung von Geheimnissen in der Ausgabe, die von Update-Befehlen f\u00fcr Dienste innerhalb der App Service-Familie generiert wird, einschlie\u00dflich Web-Apps und Funktionen. Es ist jedoch wichtig zu beachten, dass diese neue Standardeinstellung nur f\u00fcr Kunden gilt, die auf die neueste Azure CLI-Version (2.53.1 und h\u00f6her) aktualisiert haben. Fr\u00fchere Versionen (2.53.0 und darunter) sind weiterhin anf\u00e4llig f\u00fcr Ausnutzung.<\/p>\n
Um die Anzahl der erkennbaren Schl\u00fcsselmuster in Build-Protokollen zu erh\u00f6hen und sie zu verschleiern, hat Microsoft auch die M\u00f6glichkeiten zur Schw\u00e4rzung von Anmeldeinformationen in GitHub Actions und Azure Pipelines erweitert. Mit diesem Update der Schw\u00e4rzungsfunktion erkennt Microsoft von ihnen ausgegebene Schl\u00fcssel, bevor sie versehentlich in \u00f6ffentlich zug\u00e4nglichen Protokollen auftauchen. Microsoft betont jedoch, dass die geschw\u00e4rzten Muster derzeit nicht umfassend sind und es sein kann, dass zus\u00e4tzliche Variablen und maskierte Daten in Ausgaben und Protokollen auftauchen, die nicht als Geheimnisse festgelegt sind. Das Unternehmen arbeitet jedoch kontinuierlich daran, diesen Schutz zu optimieren und zu erweitern, um einen robusten Schutz vor potenziellen Geheimnissen zu gew\u00e4hrleisten.<\/p>\n
Schlagw\u00f6rter: Sicherheitsl\u00fccke + Anmeldeinformationen + Azure CLI<\/p>\n","protected":false},"excerpt":{"rendered":"
Microsoft hat eine kritische Sicherheitsl\u00fccke geschlossen, die Angreifern erm\u00f6glicht h\u00e4tte, Anmeldeinformationen aus GitHub Actions oder Azure DevOps-Protokollen zu stehlen, die mit der Azure-Befehlszeilenschnittstelle (CLI) erstellt wurden. Die Sicherheitsl\u00fccke mit dem Namen CVE-2023-36052 wurde von Sicherheitsforschern von Palo Alto’s Prisma Cloud entdeckt. Sie stellten fest, dass nicht authentifizierte Angreifer, wenn sie...<\/p>\n","protected":false},"author":4,"featured_media":1605,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1606","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/1606","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1606"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/1606\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/1605"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1606"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1606"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1606"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}