Google App Engine har en lang rekke alvorlige sårbarheter.

Det hevder polske sikkerhetsselskapet Security Explorations, som redegjorde for funnet på seclist.org i helgen.

Blant de mer enn 30 sårbarhetene forskerne fant er det 22 som skal ha latt seg utnytte til å bryte ut av Java-sandkassen og kjøre vilkårlig kode.

App Engine er en skybasert applikasjonsserver, en såkalt platform-as-a-service (PaaS) som lar kunder rulle ut og kjøre skalerbare applikasjoner i Googles infrastruktur.

Løsningen støtter en rekke ulike språk deriblant Java, Python, PHP og søkegigantens eget programmeringsspråk Go.

Appliksjonene kjører på virtuelle servere i Googles maskinklynge, og det selskapet oppgir er et trygt kjøremiljø beskyttet av sandkasse-teknologi.

Adam Gowdiak i Security Explorations ramser i kunngjøringen opp noen av forholdene de har avdekket så langt:

– we bypassed GAE whitelisting of JRE classes / achieved complete Java VM
security sandbox escape (17 full sandbox bypass PoC codes exploiting 22
issues in total),
– we achieved native code execution (ability to issue arbitrary library
/ system calls),
– we gained access to the files (binary / classes) comprising the JRE
sandbox, that includes the monster libjavaruntime.so binary (468416808
bytes in total),
– we extracted DWARF info from binary files (type information and such),
– we extracted PROTOBUF definitions from Java classes (description of 57
services in 542 .proto files),
– we extracted PROTOBUF definition from binary files (description of 8
services in 68 .proto files),
– we analyzed the above stuff and learned a lot about the GAE environment
for Java sandbox (among others).

Sperret konto
Forsøkene på å lære mer ble avbrutt lørdag, da forskerne ble kastet ut av Google App Engine, noe forskerne selv påtar seg skylden for.

– Det er utvilsomt går egen skyld. Sist uke snoket vi litt for aggressivt rundt i det underliggende operativsystemet / sandkassen og foretok ulike systemkall for å lære mer om feilkodene vi oppdaget, selve sandkassen og så videre, skriver administrerende direktør Adam Gowdiak i Security Explorations.

Adam Gowdiak er en sikkerhetsekspert det er all grunn til å ta på alvor. Polakken har gjennom flere år avdekket utallige sårbarheter i Java.

Han har sørget for å overlevere detaljene om sårbarhetene de har funnet til Google, som nå vil ettergå opplysningene.

Google sier til Eweek at de tar alle rapporter om sårbarheter i produktene deres svært alvorlig.

– Vi undersøker nå meldingen Security Explorations sendte ut på Full Disclosures epostliste. Vi har ingen grunn til å tro at kunders data og applikasjoner er i fare, sier talspersonen.