雲端 PaaS 平台 Google App Engine 獲不少開發人員支持,但據資安研究人員日前發現,Google App Engine 有多項嚴重漏洞,大多均與 JAVA 有關,開發者必須注意。
漏洞出現於 Java 運作環境上
據 Security Explorations 的研究人員報告指,他們在 Google App Engine 上的 Java 運作環境中發現多個嚴重漏洞。基於作為 PaaS (Platform as a Service) 的 Google App Engine 所提供的服務與運行環境大多均與 Java 有關,故此是次發現的漏洞可謂對大部份用戶均有一定程度的影響。
研究人員指,該漏洞讓外來者可以隨意避過 Java 虛擬裝置的沙盒 (sandbox) 功能,更可以隨意執行各種程式碼與代碼,非常危險。研究人員續指,相信嚴重漏洞總數逾 30 個以上;團隊需要作出此猜測的原因為其測試人員帳號在完成對 App Engine 的完整測試前已被 Google 停用。
研究人員依然希望繼續對Google App Engine 的測試,故此他們已向 Google 提出交涉,而 Google 暫未有就此作出回應。
Source:SecLists