Llegamos a ustedes gracias a:



Alertas de Seguridad

Se han encontrado más de 30 vulnerabilidades

En Google App Engine

[12/12/2014] Existen serias vulnerabilidades en Google App Engine (GAE), un servicio de nube para desarrollar y alojar aplicaciones web, de acuerdo a un equipo de investigadores de seguridad.

Las vulnerabilidades podrían permitir a un atacante eludir la sandbox de seguridad de Java Virtual Machine y ejecutar código en el sistema subyacente, de acuerdo a investigadores de Security Explorations, una firma de seguridad polaca que encontró muchas vulnerabilidades en Java en los pasados años.

"Hay más problemas pendientes de verificación; estimamos que son más de 30 en total, escribió Adam Gowdiak, CEO y fundador de Security Explorations, en una publicación en la lista de correo de seguridad Full Disclosure que describe los hallazgos que ha hecho su compañía en GAE. Los investigadores de Security Explorations no pudieron investigar plenamente todos los problemas debido a que su cuenta de evaluación en GAE fue suspendida, probablemente debido a su agresiva forma de probarla, indicaron.

Security Explorations envió detalles de las vulnerabilidades y el código de prueba de concepto asociado el domingo luego de ser contactado por la compañía, escribió Gowdiak vía correo electrónico el martes, añadiendo que Google ahora se encuentra analizando el material.

Luego de superar el sandbox de Java, que separa a las aplicaciones Java del sistema subyacente, el equipo de Security Explorations comenzó a investigar otra capa de seguridad, la sandbox del propio sistema operativo. No tuvieron tiempo para finalizar la investigación antes de que suspendieran su cuenta, pero consiguieron reunir información acerca de cómo se implementa la sandbox de Java en GAE, y sobre los servicios y protocolos internos de Google, de acuerdo a Gowdiak

GAE permite a los usuarios construir aplicaciones web en Python, Java, Go, PHP y una variedad de frameworks de desarrollo asociados con esos lenguajes de programación. Security Explorations investigó solo la implementación Java de la plataforma.

Casi todos los problemas encontrados eran específicos del ambiente Google Apps Engine, de acuerdo a Gowdiak. "No usamos ningún escape para la sandbox de código de Oracle Java.

Debido a que el equipo de Security Explorations no concluyó su investigación, no queda claro si las fallas que encontraron podrían haber permitido el compromiso de las aplicaciones de otras personas alojadas en GAE.