mboost-dp1

Microsoft

Microsoft lukker sikkerhedshuller i Azure Red Hat Enterprise Linux

- Via The Register - , indsendt af arne_v

Softwareingeniøren Ian Duffy har under sit arbejde, der omhandlede Azure Red Hat Enterprise Linux (RHEL), fundet sikkerhedshuller. Disse gav hackere mulighed for at finde de fire Red Hat Update Appliances, der blotlægger et REST API over HTTPS. I sidste ende var det muligt for ham at få fuld administratoradgang til de fire Update Appliances.

Duffy arbejdede på at bygge et sikkert RHEL-image til Azure, og det var i denne proces, at han faldt over et installations-script benyttet af Azure til den pre-konfigurerede RPM Package Manager.

Et andet sikkerhedshul lå i Azures Linux Agent, hvor API-nøgler var blotlagte i debugging. Det skulle ifølge Ian Duffy give hackere mulighed for at få administrator API-nøgler og downloade virtuelle harddiske fra alle RHEL-installationer, der anvender samme storage-konto.

Microsoft har takket Ian Duffy ved at udbetale en dusør, og sikkerhedshullerne er nu lukket.





Gå til bund
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login