IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une trentaine de failles de sécurité découvertes sur Google App Engine
17 d'entre elles exploitées pour exécuter du code natif sur la plateforme

Le , par Amine Horseman

80PARTAGES

2  0 
Des chercheurs de Security Explorations ont déclaré samedi dernier qu’ils avaient découvert plusieurs problèmes de sécurité dans Google App Engine. Le nombre total de ces problèmes s’élèverait à une trentaine au total, selon eux.

Google App Engine est un service qui permet de créer et d'exécuter des applications sur l'infrastructure de Google Cloud Plateform. Cette plateforme est réputée pour être facile à utiliser et offre l’avantage de se mettre à l'échelle des besoins de l’utilisateur en termes de la bande passante et de stockage de données. Mais, il semblerait que la machine virtuelle Java de cette plateforme contiendrait des failles que les chercheurs ont pu utiliser pour faire ce qu’on appelle un « sandbox escape ».

Pour faire simple, le moteur de App Engine procède à l’exécution de l’application de l’utilisateur dans un environnement sandbox, l’empêchant d’exécuter certains types d’opérations, comme l’accès à des API systèmes par exemple, ce qui permettrait de détourner le fonctionnement de la plateforme si des hackers arrivent à les utiliser. Cependant, les chercheurs de Security Explorations ont pu, en exploitant des failles de la plateforme, accéder à l’ensemble des classes de la JRE alors que normalement, seulement une partie devrait être accessible aux utilisateurs. Cet accès total leur a permis de faire des appels systèmes, exécuter du code natif et accéder à des fichiers de définitions de classes et des fichiers binaires qu’ils ont pu exploiter pour comprendre le fonctionnement interne de l’environnement App Engine.

Au total 17 des 22 failles trouvées ont pu être exploitées avant que Google ferme l’accès au compte App Engine utilisé par les chercheurs. Ces derniers estiment que le nombre total de failles s’élèverait à 30 et espèrent que Google leur débloquera l’accès à leur compte pour qu’ils puissent finir leur recherche et finaliser leur rapport de sécurité.

Source : Security Explorations Mailing List

Et vous ?

Utilisez-vous App Engine ? Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !