Huda ranljivost v Microsoft Azure Cosmos DB zakrpana
V Microsoftovi podatkovni bazi v oblaku Azure Cosmos DB so odkrili (in že zakrpali) resno ranljivost, ki je omogočala popoln prevzem računa. O ranljivosti so bili prvikrat obveščeni 12. avgusta letos in so jo hitro odpravili, pred tem pa se je v bazah skrivala več mesecev ali največ dve leti.
Ranljivost je tičala v orodju Jupyter Notebook, zato so bile prizadete le baze, ki so imele to funkcionalnost omogočeno. Privzeta nastavitev je, da se ta funkcionalnost omogoči, potem pa se po treh deaktivira, če je uporabniki v tem času ne uporabijo. Ocenjujejo, da je bilo zato prizadetih okoli 30 odstotkov namestitev Azure Cosmos DB. Konkretno je šlo za 3300 strank, ki jih je Microsoft potem izrecno obvestil o težavi. Stranke morajo namreč ključe zamenjati same.
Microsoft pravi, da ranljivost v praksi ni bila nikoli zlorabljena. Da je zelo resna, pa priča dejstvo, da so odkriteljem izplačali 40.000 dolarjev nagrade (bug bounty).
