Google Cloud、Azure 和 AWS 存在高危漏洞

重点摘要

组织面临 Google Cloud、Azure 和亚马逊网络服务AWS中的高危漏洞“LeakyCLI”可能导致敏感信息泄露。该漏洞编号为 CVE202336052，已导致 GitHub 项目和 CI/CD 工具中的访问令牌和敏感信息意外泄漏，可能被恶意行为者利用。虽然微软已于今年11月修复此漏洞，但亚马逊和谷歌认为这是正常行为，建议使用专用的秘密存储服务。

根据 The Hacker News 的报道，“LeakyCLI” 漏洞使得敏感信息在使用 GitHub Actions、TravisCI、CircleCI 和 Cloud Build 的日志中露出鱼尾。安全公司 Orca Security 指出，这一漏洞可能被恶意行为者利用，进一步恶化安全形势。

如果恶意行为者获取了这些环境变量，可能会暴露包括密码、用户名和密钥在内的敏感信息，这将允许他们访问任何代码库拥有者可以访问的资源， Orca Security 的研究员 Roi Nisimi 解释道。

虽然微软已经修复了这一错误，但亚马逊和谷歌则指出这种行为是可预期的，并建议用户采用专门的秘密存储服务来保护敏感信息。

关键字描述LeakyCLI疑似导致信息泄露的CLI工具CVE202336052高危漏洞编号Orca Security进行安全评估的公司GitHub ActionsGitHub 提供的 CI/CD 自动化服务Secrets Storage保存敏感信息的专用服务

为了避免因这一漏洞而带来的安全威胁，组织应立即检查其环境变量的管理和存储方式，并考虑使用更安全的方法来处理敏感信息。尽管已有一些修复措施，但安全仍然需要用户的高度关注与配合，以防止潜在的风险。