Google App Engine har en rekke alvorlige sårbarheter, ifølge den anerkjente sikkerhetsforskeren Adam Gowdiak.

Brøt seg inn i Google App Engine

Forskere advarer om en mengde kritiske hull.

Google App Engine har en lang rekke alvorlige sårbarheter.

Det hevder polske sikkerhetsselskapet Security Explorations, som redegjorde for funnet på seclist.org i helgen.

Blant de mer enn 30 sårbarhetene forskerne fant er det 22 som skal ha latt seg utnytte til å bryte ut av Java-sandkassen og kjøre vilkårlig kode.

App Engine er en skybasert applikasjonsserver, en såkalt platform-as-a-service (PaaS) som lar kunder rulle ut og kjøre skalerbare applikasjoner i Googles infrastruktur.

Løsningen støtter en rekke ulike språk deriblant Java, Python, PHP og søkegigantens eget programmeringsspråk Go.

Appliksjonene kjører på virtuelle servere i Googles maskinklynge, og det selskapet oppgir er et trygt kjøremiljø beskyttet av sandkasse-teknologi.

Adam Gowdiak i Security Explorations ramser i kunngjøringen opp noen av forholdene de har avdekket så langt:

- we bypassed GAE whitelisting of JRE classes / achieved complete Java VM

security sandbox escape (17 full sandbox bypass PoC codes exploiting 22

issues in total),

- we achieved native code execution (ability to issue arbitrary library

/ system calls),

- we gained access to the files (binary / classes) comprising the JRE

sandbox, that includes the monster libjavaruntime.so binary (468416808

bytes in total),

- we extracted DWARF info from binary files (type information and such),

- we extracted PROTOBUF definitions from Java classes (description of 57

services in 542 .proto files),

- we extracted PROTOBUF definition from binary files (description of 8

services in 68 .proto files),

- we analyzed the above stuff and learned a lot about the GAE environment

for Java sandbox (among others).

Sperret konto

Forsøkene på å lære mer ble avbrutt lørdag, da forskerne ble kastet ut av Google App Engine, noe forskerne selv påtar seg skylden for.

– Det er utvilsomt går egen skyld. Sist uke snoket vi litt for aggressivt rundt i det underliggende operativsystemet / sandkassen og foretok ulike systemkall for å lære mer om feilkodene vi oppdaget, selve sandkassen og så videre, skriver administrerende direktør Adam Gowdiak i Security Explorations.

Adam Gowdiak er en sikkerhetsekspert det er all grunn til å ta på alvor. Polakken har gjennom flere år avdekket utallige sårbarheter i Java.

Han har sørget for å overlevere detaljene om sårbarhetene de har funnet til Google, som nå vil ettergå opplysningene.

Google sier til Eweek at de tar alle rapporter om sårbarheter i produktene deres svært alvorlig.

– Vi undersøker nå meldingen Security Explorations sendte ut på Full Disclosures epostliste. Vi har ingen grunn til å tro at kunders data og applikasjoner er i fare, sier talspersonen.

Til toppen