Microsoft neumí zabezpečit web servery... Mají díru v Azure AppService.

[andy]

Ješte k té tvé python apce.... Jednou se třeba rozhodneš, že vydeployuješ další verzi, s novýma featurama. Dáš tam nějakou knihovnu třetí strany. Uděláš to na rychlo, pač tě zákazník bude tlačit. Zapomeneš na to, co o Azure víš. publishnes to....

Aha, takže chápu správně, že říkáš, že z titulu writable home adresáře tam dneska žádnou vulnerabilitu nemám? Ale až tam jednou vrazim zabugovanou verzi, tak tam bude?

Mně to přijde, že tady popisuješ stav, kdy máš aplikaci děravou jako cedník, a považuješ za strašnou tragédii, že ti poskytovatel infrastrukury pár těch děr nezacpává...

[Reklama]

[Fis]

@andy

Pochop, že zranitelnosti se nehodnotí podle toho, jestli jsou před nimi jiné nebo ne. Nebo jestli je provedeno nějaké mitigační opatření.

Příklad. Mám zranitelnost SQL injection. Je to critical. Dám před to aplikační firewall, kterým to odfiltruju. V apce je díra furt. SQL injection, Critical. Na tom se nemění zhola nic. Dokud se to neopraví v apce. Že jí aktuálně nemůžu zneužít? To ale přece neznamená, že tam není. Jen jsem snížil riziko jejího zneužití. Ale to riziko tam pořád je, to nezmizelo. A za nějakých okolností prostě může jít zneužít.