Google App Engine에서 발견 된 여러 가지 취약점

12 월 8 일에 업데이트 : Google은 Google 대변인으로부터 다음과 같은 진술을 받았습니다. “우리는 Google 제품의 취약성에 대한보고를 매우 진지하게 받아 들였으며 보안 검색에 전체 공개 메일 링리스트에 게시하는 방법을 조사하고 있습니다. 응용 프로그램이 위험에 처해 있습니다. ”

Google App Engine은 널리 사용되는 다양한 언어와 프레임 워크를 사용하여 맞춤형 프로그램을 실행하는 회사의 PaaS (Platform as a Service) 오퍼링입니다. 이들 대부분은 Java 환경에서 빌드됩니다.

Security Explorations에 따르면 취약점으로 인해 완전한 Java VM 보안 샌드 박스 이스케이프 및 임의 코드 실행이 허용됩니다. 연구자들은 문제의 수가 “총 30 개 이상”이라고 생각합니다. Google은 시험 Google App Engine 계정을 일시 중지했기 때문에 연구를 끝낼 수 없었습니다.

Google의 행동은 부당한 것이 아니며 Security Explorations는 많은 것을 인정합니다.

그들은 구글이 일반적으로 보안 연구 커뮤니티를 지원하고 도움을 주었기 때문에 구글이 그들의 작업을 완료 할 수 있기를 희망한다.

Google App Engine은 JRE 표준 버전 클래스의 JRE 클래스 화이트리스트라는 하위 세트에만 액세스 할 수 있습니다. 연구원은이 허용 목록에서 벗어나 전체 JRE에 액세스 할 수있었습니다. 그들은 22 개의 완전한 샌드 박스 이스케이프 문제를 발견하고 그 중 17 개를 이용할 수있었습니다. 그들은 네이티브 코드를 실행할 수있었습니다. 특히 임의의 라이브러리 / 시스템 호출을 실행하고 JRE 샌드 박스를 구성하는 파일에 액세스 할 수있었습니다.

12 월 8 일 업데이트 : 추가 분석을 통해 Google의 계정 해지가 다른 보안 조치를 취한 증거임을 분명히합니다. 적어도 일부 상황에서는 Google의 다른 조치 중 일부가 일부 공격을 완화한다고 가정하는 것이 합리적입니다. Google이 보안 연구 커뮤니티와 좋은 관계를 맺고 있다는 보안 탐구 (Security Explorations satement)는 의심의 여지없이 많은 사전 협력과 적절한 규모의 버그 현상금 프로그램으로 입증됩니다.

? M2M 시장은 브라질에서 다시 반송

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임

스타 트렉 : 긍정적 인 미래주의와 과감한 사회적 논평 50 년, 마이크로 소프트의 표면 올인원 PC가 10 월 하드웨어 출시를 표명한다고 발표했다. 아이폰 7, 새로운 애플 워치, 에어 포드와 손을 잡고 구글은 아 피기를 6 억 2500 만 달러에 사들였다.

혁신, M2M 시장 침체 브라질, 보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 사용자가 중요한 보안 구멍을 고치기 위해 지금 업데이트하도록 촉구 보안, 백악관, 정보 보안 담당자