波兰安全咨询与研究机构Security Explorations公司研究人员Adam Gowdiak宣称,其在Google App Engine当中发现大量安全漏洞。
Gowdiak指出,他和他的同事“在Google App Engine当中发现一系列安全问题,并可能导致Java VM安全沙箱环境变得形同虚设。”
下面一起来看Gowdiak就这一问题作出的具体阐述:
我们绕过了JRE类的GAE白名单/彻底避开了JavaVM安全沙箱机制(全部17种沙箱机制全部沦陷,PoC代码总计利用22种安全漏洞)。
我们实现了本地代码执行(即实现对任意库/系统之调用)。
我们获得了对构成JRE沙箱之文件(二进制/类)的访问权,其中包括最大的libjavaruntime.so二进制文件(总计468416808字节)。
我们从二进制文件中提取到了DWAR信息(即类型信息等)。
我们从Java类中提取到PROTOBUF定义(来自542个.proto文件,共涉及57项服务)。
我们从二进制文件中提取到PROTOBUF定义(来自68个.proto文件,共涉及8项服务)。
我们对以上内容进行了分析,并掌握了大量与Java沙箱(及其它)相关的GAE环境信息。
Gowdiak表示“仍有很多问题需要进一步验证——我们估计安全漏洞总数将达到30个以上。”
Gowdiak目前的探索道路已经陷入停滞,因为谷歌方面关闭了他的账户。没有任何迹象表明谷歌是出于恶意或者刻意阻挠该公司的努力:Gowdiak表示他的研究可能看起来像是对谷歌的一种攻击行为。
“考虑到我们对于Google Apps Engine Java安全沙箱问题的探索属于学习性质,而且看起来谷歌方面应该是对各类围绕沙箱展开的规避性探索与安全研究尝试持鼓励态度,因此我们希望该公司能够允许我们继续完成自己的工作,”他总结道。 |
