PT-2020-20980 · Microsoft · Azure Devops
Publicado
2020-09-14
·
Atualizado
2020-09-14
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Azure DevOps (versões afetadas não especificadas)
Descrição
O problema afeta usuários do Azure DevOps, nos quais o token do bot pode ficar exposto nos logs do servidor ou do pipeline devido ao parâmetro
http.extraheader=AUTHORIZATION ser registrado sem censura. Recomenda-se que os usuários revoguem suas credenciais de bot existentes e gerem novas após a atualização, caso haja a possibilidade de que os logs tenham sido salvos em um local acessível a terceiros.Recomendações
Para usuários do Azure DevOps, revogue as credenciais de bot existentes e gere novas após a atualização, especialmente se os logs tiverem sido salvos em um local acessível.
Não compartilhe logs do Renovate com ninguém a quem não se possa confiar o acesso ao token.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Azure Devops