パスワードを忘れた? アカウント作成
12071891 story
セキュリティ

Google App Engineに脆弱性、Google側は沈黙 40

ストーリー by hylom
透明なプラットフォームか 部門より

Google App Engine for Javaにおける脆弱性が、セキュリティ関連のメーリングリストFull Disclosureで公開された(ZDNet Japan)。

問題の脆弱性を利用することで、Java仮想マシンにおけるサンドボックス機構を無効化できてしまうという。発見された脆弱性の一部は未解決のまま残っており、また修正した脆弱性についてもGoogle側はこれについて何も発表していないという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ストーリー補足 (スコア:5, 参考になる)

    by Anonymous Coward on 2015年05月19日 18時48分 (#2817150)

    http://www.itmedia.co.jp/enterprise/articles/1412/09/news048.html [itmedia.co.jp]
    http://www.itmedia.co.jp/enterprise/articles/1505/18/news027.html [itmedia.co.jp]

    > Security Explorationsによると、同社は2014年12月以来、GAEに多数の脆弱性を発見してGoogleに報告し、Googleも修正などの対応を講じてきた。
    > しかしまだ未解決の脆弱性が複数残っていて、悪用された場合、攻撃者がサンドボックスを抜け出して任意のコードを実行できてしまう恐れがあるという。

    > 「世界中に何百人ものセキュリティ技術者がいると主張していて、他社に対しては即座に対応することを期待しているベンダーだけに、特に憂慮される」と指摘する。

    > また、一部の脆弱性はGoogleがSecurity Explorationsに連絡しないまま修正していたことも分かったとして、「同社の『黙って修正』のアプローチをわれわれが経験したのはこれで3度目」だとも批判した。

    > 6日になって、Security Explorationsの研究者がテスト用に使っていたGAEアカウントが停止され、調査を続けることができなくなったという。

    脆弱性は昨年12月以降で30を超えていて、Googleに報告しても相手にされず。一部は未修正、一部はこっそり修正して、公表も報告者に連絡も無し。
    それどころか、報告者からの報告を受けて、報告者のアカウントを凍結して調査を妨害、その報復として今回の未修正の脆弱性に対する実行コード作の公開となったようです。

    • by srad (47258) on 2015年05月19日 20時43分 (#2817244)

      報告を受けてアカウント凍結、ではありません。

      アカウントの凍結は12月でしょ。
      脆弱性をざくざく掘っている最中に監視システムにでもかかったか、アカウントが凍結されたのが事の発端。
      まともに監視がついてるシステムを無断でつつきまくればブロックされるのが当たり前だけど。
      とりあえずSE社は途中経過を Full Disclosure に投げました。

      その日のうちにG社から連絡が来て、数日後に凍結は解除されました。この辺よく読みましょう。
      http://www.security-explorations.com/en/SE-2014-02-status.html [security-e...ations.com]

      その後、水面下でやり取りがあって決裂したのがこの5月。

      だから、
      「あいつら他の会社にはうるさいくせに自社はこのていたらくかよ」って指摘は分かるが
      「調査を妨害するなんて! Evilだ!」ってのは的外れ。

      --
      アレゲなニュースと雑談サイト
      親コメント
    • by Anonymous Coward

      報告者のアカウント凍結って凄いな。
      逆ギレにも程がある。

      • by Anonymous Coward

        誤爆によるBANだという可能性も有るとGoogle社を擁護は出来るが、他人に90日ルールを強制してコレはねぇ……

        • by Anonymous Coward on 2015年05月19日 19時30分 (#2817184)

          誤爆も何も、意図的に決まってるじゃないですか。

          PaaS環境上で脆弱性を探しまくって、
          変なシステムコールを発生させまくっても、
          御咎め無しなサービスがあるなら教えてくれ。

          逆ギレじゃねーよ、あったりめーだよ。

          # まぁ、そうすると許可が出るとも思えないから、
          # 調査なんてできないけど……

          親コメント
          • by Anonymous Coward on 2015年05月20日 0時28分 (#2817374)

            SEはGoogleに調査させてくれって、ちゃんとお願いを出している。

            >> 06-Dec-2014
            >> - Security Explorations informs Google that it would need a couple of more days to work on >> the project in order to bring it up to the usual quality when reporting issues to vendors. >> The company asks Google whether it would be able to lift the suspension from its GAE account.

            でもってGoogleも基本的に受け入れる方向で動いたとSEは言っている。

            >> 07-Dec-2014
            >> - Google responds that it would appreciate to get whatever information Security
            >> Explorations has on the vulnerabilities now. The company informs that it generally
            >> encourages external researchers to stop as soon as they find a vulnerability, and let
            >> Google take it from there. Google also informs that it will check how to go about
            >> re-enabling suspended GAE account.

            親コメント
            • by Anonymous Coward on 2015年05月20日 1時21分 (#2817388)

              出してなくない?
              それ読む限り、SEがお願い出したのはBANされた"後"としか読めないなあ。
              『アカウント凍結の結果、調査が終わらなかった』ってのが、最初に書いてあるもの。

              許可もらう前に人の環境で脆弱性をテストしちゃダメよ、やっぱり。
              そら、アカウントも凍結するさ。

              親コメント
        • by Anonymous Coward

          3週間で公開というのは早いよなぁ。
          90日ルールに倣ってくれれば、過ぎたときにGoogleを思い切り叩けたのに。

          • by Anonymous Coward

            おそらく、Googleに脆弱性の報告をしてもなしのつぶて。
            何の反応も無い。
            ところが、いつの間にか修正されてる。
            修正しても、修正したとの報告も何もされない。
            報告者が「こっそり直したんだろう」と言っても証拠が無い。

            そこで、まだ脆弱性が直ってないことを確認して3週間でばらした。

      • by Anonymous Coward

        まさに悪の帝国。

        ただ、ほんとにそれだけなのか?ってのは疑問。

    • by Anonymous Coward

      Google is already evil.
      ダメだこいつら。

    • by Anonymous Coward

      ようするにテキストブラウザを使えってことですね、わかります。

  • by Anonymous Coward on 2015年05月19日 20時05分 (#2817214)

    ChromeやAndroidでも同じで、自社ソフトウェアやサービスの脆弱性情報は公開しませんね。

    Microsoftが、自社製品のsecurity advisoryをまめに公開して、影響範囲やリスク軽減策をわかりやすく説明し、
    さらにすべてのセキュリティフィックスに対する貢献者への謝辞を示しているのとは対照的。

    Poodle脆弱性のときも、Googleの公開を受けた各種報道がやたらに危険性を煽る中、
    Microsoftのsecurity advisoryだけが「この脆弱性が現実的なリスクになることは考えられません」ときっぱり断言していてしびれました。

    • by Anonymous Coward on 2015年05月19日 21時44分 (#2817285)

      MSは自社製品のサポート期間とリスクを可視化していくのに対し、Googleはサポート期間は公表せず、リスクを隠蔽しようとする。
      法人向けを主力にしてる会社と片手間にやってる会社の違いなんですかね。

      親コメント
      • by Anonymous Coward

        まさかMSが一番良心的に見える時代が来るなんて、
        15年前には想像もしなかったですね。
        あの頃のMSでさえ、今のGoogleほど邪悪じゃなかった。

        • by Anonymous Coward

          それは言い過ぎ。
          Googleは善悪両面を持っているだけで、総合的には邪悪にばかり偏っている訳ではない。
          まあ15年前ならMSは既に今に繋がる、大きなOSシェアを持つ企業のありようを意識し始めているようには見えていた頃だが、
          それ以前のMSはいかなる第三者によっても決して好意的に語られる事のない邪悪そのものの地位を確立していた。
          それに比べればまだ一定の支持層があるGoogleなんてかわいいもの。

          • by Anonymous Coward

            Googleの支持層って単に無料で色々使わせてくれれば何でも良いって人だろ。

            • by Anonymous Coward

              Googleの支持層はアホってことか?
              俺はそう思う。

          • Appleに比べたら善だってこと?

          • by Anonymous Coward

            昔は、MSがシンプルな強引強欲な感じだ
            今は、Googleが善人の仮面をかぶった詐欺師にみえる。
            本心をさとられないように善人を装ってるだけ

          • by Anonymous Coward

            君の言う当時もMS信奉者、つまりマイクロソフトに対する一定の支持層は居ましたよ。
            そうでなければデスクトップOSでの当時の地位を築くことは出来ません。歴史を都合よく捻じ曲げないでください。

            • by renja (12958) on 2015年05月20日 23時27分 (#2817952) 日記

              デスクトップOSでシェアを握ったのは、MS信奉者がいたからではない。
              Windows95~の人気は実用性の問題であって、ファンだとか信奉しているとかそんな話と別問題。
              事実を都合よく捻じ曲げないでください。

              --

              ψアレゲな事を真面目にやることこそアレゲだと思う。
              親コメント
              • by Anonymous Coward

                実用性のあるプロダクトを出した会社の製品だから使いたいわけであって、
                実用性があるから人気があり、ファンになりその会社の製品を信奉していく。
                そんなことは卵が先か、鶏が先かの話に過ぎない。

              • by Anonymous Coward

                単にWindows使っているだけで信奉者扱いか
                信奉者って言葉の意味も知らないんだな

            • by Anonymous Coward

              具体的には?
              証拠があればベストですが、
              あなたの知り合いであるとか、こういう時にこういう人がいたという記憶でも構いませんよ。

              Windows95の発売ではちょっとした盛り上がりもありましたが、彼らにMSが好きだという空気がありましたかね。

              • by Anonymous Coward

                自らはググる力すらないとても残念な人なんですね。Windows95以降の話なんて、すこし頭を捻ればネットの中にいくらでも残骸残ってるでしょうに。

                この人 [srad.jp]なんかのフッターには2000年代初めごろの書き込みのフッターに"−悲しいけれど無意識にMS信者"なんて自己主張してるくらいですが。

                こんな話 [2ch.net]もよくあった。普通にあった。

                MS信奉者はアップル信者と違い、自分で信者とか信奉者と自己主張してる人は少ないですが、周りから見ればあからさまに好んでWindows系OSを使っていましたけどねえ。彼らにとって、それのみが絶対的唯一無二な選択肢でしたから。

              • by Anonymous Coward

                IBM互換パソコン向けのビジネスなら、その最初からMicrosoftを無視してやるのは難しかったのではないかな。
                積極的か消極的かはともかく、その方面で支持があったから、今に至るまでゲームやビジネス向けアプリケーションにプラットフォームとしてMicrosoftの製品が使われているのだと思いますよ。

              • by Anonymous Coward

                なんか負け犬の遠吠えにしか見えませんよ。
                勝手に後出しの条件だしてほざいているコメントってバカにもほどがあります。

                ”意図を考えれば、少なくとも1995年前後かそれ以前の記憶を辿るべきです。”
                →記憶ですか。私の記憶にはあります。証明おわり。

          • by Anonymous Coward

            > それは言い過ぎ。

            ハハ…。

            > Googleは善悪両面を持っているだけで、総合的には邪悪にばかり偏っている訳ではない。

            それはMSにも言えるよね。
            邪悪なことばかりやっていたなら、それは反社会的組織だよ。

            > それ以前のMSはいかなる第三者によっても決して好意的に語られる
            > 事のない邪悪そのものの地位を確立していた。

            はて?
            どこかのパラレルワールドの話?

            そんなに悪名高かったかな。
            その頃のMSよりも嫌われている会社って他にもあったのよ。

            AOLとか筆頭で嫌われていたし、あ、今どきの若者はAOLなんて知らないか。

            • by Anonymous Coward

              少なくとも Windows98 の頃から脆弱性が見つかれば修正しようとしていたし、
              パッチは無償で公開していたように思います。
              その態度は Microsoft SQL Server のような製品であってもそうで、
              対して Oracle は・・・みたいな話はよくしてた記憶。

            • by Anonymous Coward

              > どこかのパラレルワールドの話?
              > そんなに悪名高かったかな。

              1990年代のMSにすら悪名を聞かないというのなら、MSの邪悪の汚名はまさに濡れ衣以外の何物でもないと言えるでしょう。
              そう思う人が多数いるのであれば、それはそれで私としては結構な話です。

    • by Anonymous Coward on 2015年05月20日 9時18分 (#2817486)

      MSの未公開の脆弱性で、修正パッチの検証が遅れていることを理由に情報公開を少し待ってくれ、というMSからのお願いに対して「知ったことか。90日で公開することにしてる」と公表しちゃうGoogle。

      それなのにGoogleの抱える脆弱性については未公開のまま半年近くも放置。
      修正しても修正した脆弱性についての情報も公表しない。

      そういう他社には厳しすぎるくせに自分たちには甘い基準でセキュリティを語るGoogleってどうなのよ?
      という話ですよね。

      少し古いAndroidも放置だしなー。

      親コメント
      • by Anonymous Coward

        どうもこうもGoogleは単なる営利企業だからね。儲けがすべて
        MSとは違うのだよ

    • by Anonymous Coward

      それどころか他者の脆弱性を勝手に公開してユーザーを危険に晒すのがグーグルです

    • by Anonymous Coward

      poodleって通信が暗号化されているから検知が難しくて
      エラーの発生頻度くらいしか検知の手がかりが無いんじゃなかったでしたっけ?
      サーバによってはログすら残りませんし・・・

      攻撃に利用されていないと言い切れるものなの?

      強度が弱いと指摘されている20年近くも前の暗号化にしがみつく必要があるんでしょうかね

  • by Anonymous Coward on 2015年05月19日 21時56分 (#2817292)

    まったく

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...