Фирма безопасности требует его найденный Google App Engine Flaws

google

CEO безопасности Исследования, которые нашли больше чем две дюжины дефектов в Google App Engine, сказал, что может быть больше, которые еще не были проверены.Польская твердая безопасность Исследования утверждает, что обнаружила больше чем две дюжины уязвимостей в среде Google App Engine Java, некоторые из которых позволяют выполнение собственного кода и Escape тестовой среды безопасности Java.Существует потенциально еще несколько уязвимостей в среде, которую компания не была в состоянии проверить до сих пор, Адам Гоудиэк, CEO безопасности Исследования, записал на консультации 7 сентября на Полном раскрытии, списке рассылки для обсуждения уязвимостей системы обеспечения безопасности и использования.Google App Engine (GAE) является размещенным Google обслуживанием, которое позволяет компаниям создавать и поддерживать приложения, записанные в Java, Python, PHP, Пойдите и другие языки программирования.

Компания предлагает комплекты разработчика программного обеспечения на поддерживаемых языках. Каждый содержит API и библиотеки, доступные Механизму Приложения, безопасная среда песочницы, которая эмулирует услуги Механизма Приложения на локальный компьютер разработчика и многочисленные инструменты развертывания для облака.

Дефекты позволяют атакующим обойти белый список Класса среды выполнения Java (JRE) GAE, выйти из тестовой среды безопасности виртуальной машины Java и выпустить произвольную библиотеку и вызовы системного уровня. По крайней мере 22 из уязвимостей позволили побег из тестовой среды безопасности, Гоудиэк сказал, добавив, что безопасность Исследования смогла использовать 17 из них с помощью кода подтверждения концепции.

Тестовая среда безопасности Java Google разработана, чтобы препятствовать тому, чтобы Веб-приложения хоста вмешались друг в друга. Согласно Google Applications, работающему в этой среде, может выполнить код и сохранить и запросить данные в хранилище данных Механизма Приложения, но не может записать в файловую систему или сделать другие виды системных вызовов.

«Мы получили доступ к файлам (двоичный файл/классы), включающий песочницу JRE, которая включает монстра libjavaruntime.so двоичный файл», сказал Гоудиэк. Исследования безопасности также смогли узнать много о песочнице Java среды GAE, извлекая информацию из средств отладки и методов буферизации протокола, сказал он.

«Существует больше проблем незаконченная проверка – мы предполагаем, что они находятся в диапазоне 30 + всего», записал Гоудиэк.Исследования безопасности были вынуждены остановить ее исследование, потому что Google заблокировал свой аккаунт GAE. «На этой неделе мы действительно вводили по абсолютному адресу немного более настойчиво вокруг базовой песочницы ОС [и] выпускали различные системные вызовы для узнавания больше о природе [песочница]», признал он. «Без любого сомнения это – opsec отказ с нашей стороны», добавил он, выразив надежду, что Google восстановит учетную запись компании.

«Принятие во внимание образовательной природы проблем безопасности нашло в тестовой среде безопасности Java GAE и что, кажется, оценка, которую Google имеет для произвольного исследования безопасности …, мы надеемся, что компания позволяет нам завершить нашу работу», сказал Гоудиэк. Восстановление учетной записи позволит исследователям в безопасности Исследования проверять остающиеся уязвимости и потенциальное использование и предоставлять отчет, документирующий все результаты для сообщества безопасности.В почтовом ответе на запрос eWEEK Гоудиэк сказал, что невозможно в настоящее время оценить серьезность обнаруженных дефектов, потому что безопасность Исследования больше не имеет доступ к своей учетной записи GAE. «Мы убежали из тестовой среды безопасности Java GAE и получили выполнение собственного кода в среде», сказал он.

Та предназначенная безопасность Исследования имела способность выполнить код вне песочницы и начать вводить по абсолютному адресу на уровень песочницы операционной системы. «Это – все еще выполнение локального кода, хотя, не удаленный», сказал он.Дефекты являются результатом некоторых простых ошибок при имении отношение к известным проблемам безопасности Java, сказал он. «Google в настоящее время изучает материал, который мы поставили компании. Мы не знаем ни о каком другом состоянии относительно проблем, о которых сообщают», сказал он.

В отправленном по электронной почте комментарии представитель Google сказал, что компания берет все отчеты об уязвимостях в ее продуктах очень серьезно. «Мы исследуем безопасность проводка Исследований к списку рассылки Полного раскрытия», заявил докладчик. «У нас нет причины полагать, что данные о клиентах и приложения находятся в опасности».


8 комментариев к “Фирма безопасности требует его найденный Google App Engine Flaws”

Оставьте комментарий