Hét új sebezhetőség a Google App Engine-ben
Biztonsági hibákat találtak a Google App Engine-ben a Security Explorations kutatói. Miután a privát megkeresést követően a keresőóriás nem reagált a hét felfedezett sebezhetőséggel kapcsolatban, a szakértők nyilvánosságra hozták a hibákat.
A Google App Engine-ben található biztonsági résekre figyelmeztetnek a Security Explorations biztonsági szakértői. A kutatók szerint a felhős platform sebezhetőségeit kihasználva támadók kijuthatnak az első szintű biztonsági sandboxból, és potenciálisan rosszindulatú kódot futtathatnak a Google szerverein.
A lengyel biztonsági cég szerint a sérülékenységeket kihasználva a támadók érzékeny felhasználói információkhoz is hozzáférhetnek. A behatolók egy kártékony Java alkalmazás futtatásával törhetnek ki a Google ingyenesen elérhető cloud megoldásához használt sandboxából, valamint a Java sandboxból is - útközben pedig értékes adatokhoz juthatnak a biztonsági környezetekkel kapcsolatban. A sebezhetőségek mindezek mellett potenciálisan az RPC (remote procedure call) szolgáltatások elleni támadásokhoz is jó kiindulópontot biztosíthatnak.
Hyperscaler vagy hazai felhő? Lehet, hogy nem kell választani! Egy jól felépített hibrid vagy multicloud modellben a különböző felhők nem versenytársai, hanem kiegészítői egymásnak.
A Security Explorations szakértője, Adam Gowdiak az Ars Technicának nyilatkozva elmondta, a sebezhetőségekkel kapcsolatban folytatott kutatásuk során, a Google-lel kötött megállapodásuk értelmében végig a JVM (Java Virtual Machine) rétegen belül maradtak, a gyakorlatban nem sodortak veszélybe vagy fértek hozzá felhasználói adatokhoz. Gowdiak nagyjából három héttel ezelőtt jelezte a problémát a keresőóriásnak.
A szakértő szerint egy hasonló kaliberű vállalatnak legfeljebb egy-két munkanapon belül jeleznie kellene, hogy tudomásul vette a hibát - miután azonban ez nem történt meg, a Security Explorations részleteiben is nyilvánosságra hozta a hét felfedezett sebezhetőséget, ezzel azt kockáztatva, hogy elveszíti a hibákért járó vaskos, mintegy 20 ezer dolláros vérdíjat. Ugyanakkor időközben a keresőóriás reagált a megkeresésre: a Google egyik szóvivője az esettel kapcsolatban úgy nyilatkozott, a vállalat számára ismert hibáról van szó, amelynek elhárításán már dolgoznak - méghozzá Gowdiakkal közösen. A felhasználóknak a vállalat szerint nem kell külön lépéseket tenniük.