微软Azure漏洞让RedHat映象档安全拉警报

微软Azure被发现一个软件元件漏洞，可能使Azure上的Red Hat Enterprise Linux映象档遭到骇客入侵。所幸该漏洞已经由微软修补完成。

这个漏洞是由软件工程师 Ian Duffy首先发现 。他是在为Azure建立RHEL映象档时，发现Azure内建的RPM封包管理员使用的安装描述语言含有主机资讯，可使用户组态资讯曝光，由此发现4台曝露于RESTAPI over HTTPS的Red Hat 更新装置。

他发现一个可执行于所有Azure RHEL instances上、名为PrepareRHUI 的封包中包含rhui-monitor.cloud主机名称，并在存取之后，发现这台主机的使用者与密码验证皆无法运作，使他得以在其中动手脚，取得4台Red Hat 更新装置的管理员权限。

此外，他还发现所有Azure RHEL映象档皆未执行gpgcheck检查，再加上如果有人取得RHEL装置REST API完整管理员权限，就可在下次更新时上传恶意封包，进而攻城掠地。

微软在经过通报后，判定此为一项漏洞，并已经修补该漏洞，关闭了rhui-monitor.cloud的存取通道。