Microsoft Identity Web Flaw, hassas müşteri sırlarını ve sertifikaları ortaya çıkarır

   Nisan 10, 2025  Posted in GBHackers


Microsoft.Identity.web Nuget paketinde belirli koşullar altında yeni bir güvenlik açığı keşfedilmiştir, potansiyel olarak müşteri sırları ve servis günlüklerindeki sertifika detayları gibi hassas bilgileri ortaya çıkarır.

CVE-2025-32016 olarak tanımlanan kusur, ılımlı olarak derecelendirilmiştir ve geliştiricileri istenmeyen veri maruziyetini önlemek için sorunu acilen ele almalarını istemektedir.

Güvenlik Açığı’na Genel Bakış:

Güvenlik açığı, Ölçükler, Web Uygulamaları ve Web API’leri gibi gizli müşteri uygulamalarını etkiler.

– Reklamcılık –
Google HaberleriGoogle Haberleri

Müşteri sırları, Base64 kodlu sertifikalar veya şifre tanımlayıcılarlı sertifika yolları dahil olmak üzere hassas veriler, hizmet günlükleri belirli koşullar altında oluşturulduğunda ortaya çıkabilir.

Etkilenen senaryolar:

  • Günlük seviyesi: “Bilgi” düzeyinde oluşturulan günlükler savunmasızdır.
  • Kimlik Bilgisi Açıklamaları: İstemci sırları, baz64 kodlu değerler, şifreli sertifika yolları veya geçersiz/süresi dolmuş sertifikalar gibi bazı kimlik bilgisi türleri servis günlüklerinde pozlamaya eğilimlidir.

Servis günlükleri genellikle güvenli kullanım için tasarlanmıştır, ancak bu kusur belirli konfigürasyonlar altında veri sızıntısı riski getirir.

Geçersiz veya süresi dolmuş sertifikalar kullanan uygulamalar, kütük seviyelerinden bağımsız olarak hala etkilenebilir, ancak bu durumlardaki kimlik bilgileri geçersizlik nedeniyle kullanılamaz.

Darbe

Güvenlik açığı öncelikle aşağıdaki koşulları karşılayan hizmetleri etkiler:

  1. Günlük seviyesi: Microsoft.Identity.web için “Bilgi”.
  2. Kimlik Bilgisi Açıklama:
    • Base64Ended kimlik bilgileri veya şifreli sertifika yolları: Geçersiz veya süresi dolmuşsa etkilenir.
    • Müşteri Sırları: “Bilgi” günlük düzeyinde etkilenir.

Etkilenmeyen diğer kimlik bilgisi açıklamaları, istemci sırlarına bağlı olmayanlar, Base64 kodlu sertifikalar veya kimlik bilgisi yolları içerir. Günlükleri güvenli bir şekilde yönetilen uygulamalar da etkilenmez.

Üretim ortamları için öneriler

  • Kimlik bilgisi kaynak ayarlı MüşteriCredentials kullanmaktan kaçının:
    • Müşteriler
    • Base64Encoded
    • Yol
  • KeyVault veya Sertifika mağazalarında saklanan sertifikaları tercih edin. Alternatif olarak, yönetilen kimliğe sahip Federasyon kimlik kimlik bilgilerini kullanın.

Microsoft, güvenlik açığı için düzeltmeler yayınladı. Geliştiricilere şu adrese yükseltmeleri tavsiye edilir:

  • Microsoft.Identity.Web Sürüm 3.8.2
  • Microsoft.Identity.Abstractions Sürüm 9.0.0

Hemen yükseltilemeyen uygulamalar için aşağıdaki önlemler önerilmektedir:

  1. Güvenli Servis Günlükleri: Günlüklerin güvenli bir şekilde işlendiğinden ve erişim kesinlikle kısıtlandığından emin olun.
  2. Günlük Seviyesi Ayarı: Microsoft.Identity.Web Ad Alanı için “Bilgi” Günlük seviyesini kullanmaktan kaçının.

Bu keşif, güvenli günlük uygulamalarının ve zamanında uygulama güncellemelerinin öneminin altını çizmektedir.

Geliştiriciler, hassas bilgileri korumak için yamalı sürümlere yükseltmeye veya alternatif geçici çözümler uygulamaya teşvik edilir.

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!



Source link