شماره: IRCNE2014122393
تاريخ: 18/09/93
محققان Security Explorations گزارش دادند كه چندين آسيب پذيري جدي را در محيط جاواي Google App Engine كشف كرده اند. Google App Engine بخشي از پلت فرم ابر گوگل مي باشد.
Google App Engine يك PaaS مي باشد كه به برنامه هاي سفارشي سازي شده اجازه مي دهد تا با استفاده از دامنه وسيعي از زبان هاي معروف و چارچوب هاي كاري اجرا شوند. بسياري از اين برنامه ها در محيط جاوا ساخته مي شوند.
محققان Security Explorations اظهار داشتند كه آسيب پذيري هاي كشف شده به مهاجمان اجازه مي دهند تا محيط sandbox در Java VM را دور زنند و كد دلخواه را اجرا نمايند. آن ها نتوانستند تا تحقيقات خود را كامل نمايند زيرا شركت گوگل حساب كاربري محيط تست Google App Engine را معلق كرده است.
Google App Engine تنها اجازه دسترسي به يك زيرمجموعه با نام JRE Class White List را مي دهد. محققان توانستند به اين فهرست نفوذ كرده و دسترسي كامل JRE را بدست آورند. آن ها 22 مساله فرار از sandbox را پيدا كردند و توانستند از 17 آسيب پذيري سوء استفاده نمايند. هم چنين توانستند كد محلي را اجرا نمايند و به فايل هاي موجود در JRE دسترسي يابند.
- 2