「Google App Engine for Java」のパッチ未適用の脆弱性が明らかになった。
セキュリティ専門企業のSecurity Explorationsは米国時間5月15日、この脆弱性をFull Disclosureで公開した。それによると、Google App Engine for Javaの多数の脆弱性を利用することで、Java仮想マシンセキュリティサンドボックスを完全にエスケープできてしまうという。エスケープが達成されれば、攻撃者は土台のシステムやプロセス上で任意のコードを実行できてしまう。
Security ExplorationsのAdam Gowdiak氏の投稿によると、約30のセキュリティ脆弱性が最初に発見され、その後Googleはこれを解決したという。しかし、少なくとも5件の脆弱性が未解決のまま残っており、Googleが過去3週間沈黙していたことを受けて、この問題を公開することにしたという。
Google App EngineはPython、Go、PHPもサポートするが、今回のセキュリティ報告はGoogle App Engine for Javaのみに関連する。Google App EngineはPaaSで、企業がアプリケーションを構築、運用するのに利用されている。
Security ExplorationsはGoogleのコミュニケーション不足を大きな問題と感じているようだ。報告されている2件の欠陥については、実証コード(PoC)はうまくいかないようだが、Googleはパッチ通知を出していない。その代わり、Security Explorations側に通知しない「サイレントフィックス」を発行している。
Security Explorationsはまた、残り3件のGoogle App Engine for Javaのサンドボックスエスケープの実証コードも公開している。2件の欠陥については、実証コードはGoogle App Engine for Java環境へのアクセスを得ることができるのみだという。そのため、最初の防御レイヤであり、Googleが残りの低レベルのサンドボックスレイヤ(OSサンドボックスなど)は「十分に堅牢だ」としていることから、深刻な問題とはいえないとしている。
Googleの担当者は米ZDNetに対し、この脆弱性を報告した研究者と共に、この問題を緩和しようと取り組んでいると述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
