Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Une trentaine de failles de sécurité découvertes sur Google App Engine
17 d'entre elles exploitées pour exécuter du code natif sur la plateforme

Le , par Amine Horseman, Expert éminent sénior
Des chercheurs de Security Explorations ont déclaré samedi dernier qu’ils avaient découvert plusieurs problèmes de sécurité dans Google App Engine. Le nombre total de ces problèmes s’élèverait à une trentaine au total, selon eux.

Google App Engine est un service qui permet de créer et d'exécuter des applications sur l'infrastructure de Google Cloud Plateform. Cette plateforme est réputée pour être facile à utiliser et offre l’avantage de se mettre à l'échelle des besoins de l’utilisateur en termes de la bande passante et de stockage de données. Mais, il semblerait que la machine virtuelle Java de cette plateforme contiendrait des failles que les chercheurs ont pu utiliser pour faire ce qu’on appelle un « sandbox escape ».

Pour faire simple, le moteur de App Engine procède à l’exécution de l’application de l’utilisateur dans un environnement sandbox, l’empêchant d’exécuter certains types d’opérations, comme l’accès à des API systèmes par exemple, ce qui permettrait de détourner le fonctionnement de la plateforme si des hackers arrivent à les utiliser. Cependant, les chercheurs de Security Explorations ont pu, en exploitant des failles de la plateforme, accéder à l’ensemble des classes de la JRE alors que normalement, seulement une partie devrait être accessible aux utilisateurs. Cet accès total leur a permis de faire des appels systèmes, exécuter du code natif et accéder à des fichiers de définitions de classes et des fichiers binaires qu’ils ont pu exploiter pour comprendre le fonctionnement interne de l’environnement App Engine.

Au total 17 des 22 failles trouvées ont pu être exploitées avant que Google ferme l’accès au compte App Engine utilisé par les chercheurs. Ces derniers estiment que le nombre total de failles s’élèverait à 30 et espèrent que Google leur débloquera l’accès à leur compte pour qu’ils puissent finir leur recherche et finaliser leur rapport de sécurité.

Source : Security Explorations Mailing List

Et vous ?

Utilisez-vous App Engine ? Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Expert Business Analyst EDI
non renseigné - Provence Alpes Côte d'Azur - Marseille (13000)
Directeur technique et ingénierie h/f
Florian Mantione Institut - Languedoc Roussillon - Montpellier (34000)
Développeur dotnet h/f
Atos - Lorraine - Metz (57000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil