Google App Engineに複数の脆弱性--問題は「30を上回る」と研究者ら

　Security Explorationsの研究者は、「Google Cloud Platform」の一部である「Google App Engine」のJava環境に深刻な脆弱性が複数存在することを発見したと報告している。

　Google App Engineは、人気の高いさまざまな言語やフレームワークを使用するカスタムプログラムを実行するためのGoogleのPaaS（Platform as a Service）製品だ。こうしたカスタムプログラムの多くは、Java環境で構築される。

　Security Explorationsによると、これらの脆弱性を悪用すると、Java仮想マシンのセキュリティサンドボックスを完全に回避できるほか、任意のコードを実行することも可能になるという。合計すると、問題の数は「30を上回る」と研究者は考えている。Googleにテスト用のGoogle App Engineアカウントを一時的に停止されているため、研究者たちは調査を完了できていない。

　Googleの措置は理不尽なものではなく、Security Explorationsもそのことは認めている。

　われわれの側が運用保全に関する失敗を犯したのは間違いない（われわれは今週、エラーコード202の性質やサンドボックス自体についてより多くの情報を得るため、根底をなすOSサンドボックスをこれまでより少し強引に詮索し、さまざまなシステムコールを発行した）。

　これまで、Googleは概してセキュリティ研究コミュニティーを支援し、助けてきたので、研究者たちは、Googleが調査の完遂を認めてくれることを期待している、と述べた。

　Google App Engineでは、「JRE Class White List」と呼ばれる「JRE Standard Edition」クラスのサブセットにのみアクセス可能だ。研究者はこのホワイトリストから脱して、完全なJREにアクセスすることに成功した。サンドボックスの完全な回避を可能にする22の問題を発見し、そのうち17の脆弱性を悪用することができている。また、任意のライブラリ／システムコールを発行して、JREサンドボックスを構成するファイルにアクセスするためのネイティブコードの実行に成功している。

　米ZDNetはGoogleにコメントを求めたが、回答は得られていない。