微软发布安全更新修复Azure漏洞SynLapse（CVE-2022-29972）

《Bleeping Computer》5月9日报道，微软近日发布安全更新，修复了影响Azure Synapse和Azure Data Factory 的安全漏洞SynLapse（CVE-2022-29972），该漏洞允许攻击者跨Integration Runtime基础设施执行远程命令。研究人员表示，该漏洞是在用于连接Amazon Redshift的第三方ODBC数据连接器、Azure Synapse pipeline中的Integration Runtime和Azure Data Factory中发现的，攻击者可以利用该漏洞访问和控制其他用户的Synapse工作区，允许其向其他服务泄露敏感数据，包括Azure的服务密钥、API令牌和密码等。建议广大用户评估对Azure服务的使用情况，不要在其中存储敏感数据或密钥。