編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

「Google App Engine for Java」にパッチ未適用の脆弱性--セキュリティ専門家が報告

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2015-05-18 11:18

 「Google App Engine for Java」のパッチ未適用の脆弱性が明らかになった。

 セキュリティ専門企業のSecurity Explorationsは米国時間5月15日、この脆弱性をFull Disclosureで公開した。それによると、Google App Engine for Javaの多数の脆弱性を利用することで、Java仮想マシンセキュリティサンドボックスを完全にエスケープできてしまうという。エスケープが達成されれば、攻撃者は土台のシステムやプロセス上で任意のコードを実行できてしまう。

 Security ExplorationsのAdam Gowdiak氏の投稿によると、約30のセキュリティ脆弱性が最初に発見され、その後Googleはこれを解決したという。しかし、少なくとも5件の脆弱性が未解決のまま残っており、Googleが過去3週間沈黙していたことを受けて、この問題を公開することにしたという。

 Google App EngineはPython、Go、PHPもサポートするが、今回のセキュリティ報告はGoogle App Engine for Javaのみに関連する。Google App EngineはPaaSで、企業がアプリケーションを構築、運用するのに利用されている。

 Security ExplorationsはGoogleのコミュニケーション不足を大きな問題と感じているようだ。報告されている2件の欠陥については、実証コード(PoC)はうまくいかないようだが、Googleはパッチ通知を出していない。その代わり、Security Explorations側に通知しない「サイレントフィックス」を発行している。

 Security Explorationsはまた、残り3件のGoogle App Engine for Javaのサンドボックスエスケープの実証コードも公開している。2件の欠陥については、実証コードはGoogle App Engine for Java環境へのアクセスを得ることができるのみだという。そのため、最初の防御レイヤであり、Googleが残りの低レベルのサンドボックスレイヤ(OSサンドボックスなど)は「十分に堅牢だ」としていることから、深刻な問題とはいえないとしている。

 Googleの担当者は米ZDNetに対し、この脆弱性を報告した研究者と共に、この問題を緩和しようと取り組んでいると述べた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]