Google App Engineに脆弱性、Google側は沈黙 40
ストーリー by hylom
透明なプラットフォームか 部門より
透明なプラットフォームか 部門より
Google App Engine for Javaにおける脆弱性が、セキュリティ関連のメーリングリストFull Disclosureで公開された(ZDNet Japan)。
問題の脆弱性を利用することで、Java仮想マシンにおけるサンドボックス機構を無効化できてしまうという。発見された脆弱性の一部は未解決のまま残っており、また修正した脆弱性についてもGoogle側はこれについて何も発表していないという。
ストーリー補足 (スコア:5, 参考になる)
http://www.itmedia.co.jp/enterprise/articles/1412/09/news048.html [itmedia.co.jp]
http://www.itmedia.co.jp/enterprise/articles/1505/18/news027.html [itmedia.co.jp]
> Security Explorationsによると、同社は2014年12月以来、GAEに多数の脆弱性を発見してGoogleに報告し、Googleも修正などの対応を講じてきた。
> しかしまだ未解決の脆弱性が複数残っていて、悪用された場合、攻撃者がサンドボックスを抜け出して任意のコードを実行できてしまう恐れがあるという。
> 「世界中に何百人ものセキュリティ技術者がいると主張していて、他社に対しては即座に対応することを期待しているベンダーだけに、特に憂慮される」と指摘する。
> また、一部の脆弱性はGoogleがSecurity Explorationsに連絡しないまま修正していたことも分かったとして、「同社の『黙って修正』のアプローチをわれわれが経験したのはこれで3度目」だとも批判した。
> 6日になって、Security Explorationsの研究者がテスト用に使っていたGAEアカウントが停止され、調査を続けることができなくなったという。
脆弱性は昨年12月以降で30を超えていて、Googleに報告しても相手にされず。一部は未修正、一部はこっそり修正して、公表も報告者に連絡も無し。
それどころか、報告者からの報告を受けて、報告者のアカウントを凍結して調査を妨害、その報復として今回の未修正の脆弱性に対する実行コード作の公開となったようです。
ストーリー誤読の補足 (スコア:5, 参考になる)
報告を受けてアカウント凍結、ではありません。
アカウントの凍結は12月でしょ。
脆弱性をざくざく掘っている最中に監視システムにでもかかったか、アカウントが凍結されたのが事の発端。
まともに監視がついてるシステムを無断でつつきまくればブロックされるのが当たり前だけど。
とりあえずSE社は途中経過を Full Disclosure に投げました。
その日のうちにG社から連絡が来て、数日後に凍結は解除されました。この辺よく読みましょう。
http://www.security-explorations.com/en/SE-2014-02-status.html [security-e...ations.com]
その後、水面下でやり取りがあって決裂したのがこの5月。
だから、
「あいつら他の会社にはうるさいくせに自社はこのていたらくかよ」って指摘は分かるが
「調査を妨害するなんて! Evilだ!」ってのは的外れ。
アレゲなニュースと雑談サイト
Re: (スコア:0)
報告者のアカウント凍結って凄いな。
逆ギレにも程がある。
Re: (スコア:0)
誤爆によるBANだという可能性も有るとGoogle社を擁護は出来るが、他人に90日ルールを強制してコレはねぇ……
Re:ストーリー補足 (スコア:1)
誤爆も何も、意図的に決まってるじゃないですか。
PaaS環境上で脆弱性を探しまくって、
変なシステムコールを発生させまくっても、
御咎め無しなサービスがあるなら教えてくれ。
逆ギレじゃねーよ、あったりめーだよ。
# まぁ、そうすると許可が出るとも思えないから、
# 調査なんてできないけど……
何を怒ってるのか知らんけど (スコア:1)
SEはGoogleに調査させてくれって、ちゃんとお願いを出している。
>> 06-Dec-2014
>> - Security Explorations informs Google that it would need a couple of more days to work on >> the project in order to bring it up to the usual quality when reporting issues to vendors. >> The company asks Google whether it would be able to lift the suspension from its GAE account.
でもってGoogleも基本的に受け入れる方向で動いたとSEは言っている。
>> 07-Dec-2014
>> - Google responds that it would appreciate to get whatever information Security
>> Explorations has on the vulnerabilities now. The company informs that it generally
>> encourages external researchers to stop as soon as they find a vulnerability, and let
>> Google take it from there. Google also informs that it will check how to go about
>> re-enabling suspended GAE account.
Re:何を怒ってるのか知らんけど (スコア:1)
出してなくない?
それ読む限り、SEがお願い出したのはBANされた"後"としか読めないなあ。
『アカウント凍結の結果、調査が終わらなかった』ってのが、最初に書いてあるもの。
許可もらう前に人の環境で脆弱性をテストしちゃダメよ、やっぱり。
そら、アカウントも凍結するさ。
Re: (スコア:0)
3週間で公開というのは早いよなぁ。
90日ルールに倣ってくれれば、過ぎたときにGoogleを思い切り叩けたのに。
Re: (スコア:0)
おそらく、Googleに脆弱性の報告をしてもなしのつぶて。
何の反応も無い。
ところが、いつの間にか修正されてる。
修正しても、修正したとの報告も何もされない。
報告者が「こっそり直したんだろう」と言っても証拠が無い。
そこで、まだ脆弱性が直ってないことを確認して3週間でばらした。
Re: (スコア:0)
まさに悪の帝国。
ただ、ほんとにそれだけなのか?ってのは疑問。
Re: (スコア:0)
Google is already evil.
ダメだこいつら。
Re: (スコア:0)
ようするにテキストブラウザを使えってことですね、わかります。
Googleは脆弱性情報を公開しない (スコア:4, すばらしい洞察)
ChromeやAndroidでも同じで、自社ソフトウェアやサービスの脆弱性情報は公開しませんね。
Microsoftが、自社製品のsecurity advisoryをまめに公開して、影響範囲やリスク軽減策をわかりやすく説明し、
さらにすべてのセキュリティフィックスに対する貢献者への謝辞を示しているのとは対照的。
Poodle脆弱性のときも、Googleの公開を受けた各種報道がやたらに危険性を煽る中、
Microsoftのsecurity advisoryだけが「この脆弱性が現実的なリスクになることは考えられません」ときっぱり断言していてしびれました。
Re:Googleは脆弱性情報を公開しない (スコア:1)
MSは自社製品のサポート期間とリスクを可視化していくのに対し、Googleはサポート期間は公表せず、リスクを隠蔽しようとする。
法人向けを主力にしてる会社と片手間にやってる会社の違いなんですかね。
Re: (スコア:0)
まさかMSが一番良心的に見える時代が来るなんて、
15年前には想像もしなかったですね。
あの頃のMSでさえ、今のGoogleほど邪悪じゃなかった。
Re: (スコア:0)
それは言い過ぎ。
Googleは善悪両面を持っているだけで、総合的には邪悪にばかり偏っている訳ではない。
まあ15年前ならMSは既に今に繋がる、大きなOSシェアを持つ企業のありようを意識し始めているようには見えていた頃だが、
それ以前のMSはいかなる第三者によっても決して好意的に語られる事のない邪悪そのものの地位を確立していた。
それに比べればまだ一定の支持層があるGoogleなんてかわいいもの。
Re: (スコア:0)
Googleの支持層って単に無料で色々使わせてくれれば何でも良いって人だろ。
Re: (スコア:0)
Googleの支持層はアホってことか?
俺はそう思う。
Googleの善てなんだ? (スコア:0)
Appleに比べたら善だってこと?
Re: (スコア:0)
昔は、MSがシンプルな強引強欲な感じだ
今は、Googleが善人の仮面をかぶった詐欺師にみえる。
本心をさとられないように善人を装ってるだけ
歴史捏造乙 (スコア:0)
君の言う当時もMS信奉者、つまりマイクロソフトに対する一定の支持層は居ましたよ。
そうでなければデスクトップOSでの当時の地位を築くことは出来ません。歴史を都合よく捻じ曲げないでください。
Re:歴史捏造乙 (スコア:1)
デスクトップOSでシェアを握ったのは、MS信奉者がいたからではない。
Windows95~の人気は実用性の問題であって、ファンだとか信奉しているとかそんな話と別問題。
事実を都合よく捻じ曲げないでください。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
実用性のあるプロダクトを出した会社の製品だから使いたいわけであって、
実用性があるから人気があり、ファンになりその会社の製品を信奉していく。
そんなことは卵が先か、鶏が先かの話に過ぎない。
Re: (スコア:0)
単にWindows使っているだけで信奉者扱いか
信奉者って言葉の意味も知らないんだな
Re: (スコア:0)
具体的には?
証拠があればベストですが、
あなたの知り合いであるとか、こういう時にこういう人がいたという記憶でも構いませんよ。
Windows95の発売ではちょっとした盛り上がりもありましたが、彼らにMSが好きだという空気がありましたかね。
Re: (スコア:0)
自らはググる力すらないとても残念な人なんですね。Windows95以降の話なんて、すこし頭を捻ればネットの中にいくらでも残骸残ってるでしょうに。
この人 [srad.jp]なんかのフッターには2000年代初めごろの書き込みのフッターに"−悲しいけれど無意識にMS信者"なんて自己主張してるくらいですが。
こんな話 [2ch.net]もよくあった。普通にあった。
MS信奉者はアップル信者と違い、自分で信者とか信奉者と自己主張してる人は少ないですが、周りから見ればあからさまに好んでWindows系OSを使っていましたけどねえ。彼らにとって、それのみが絶対的唯一無二な選択肢でしたから。
Re: (スコア:0)
IBM互換パソコン向けのビジネスなら、その最初からMicrosoftを無視してやるのは難しかったのではないかな。
積極的か消極的かはともかく、その方面で支持があったから、今に至るまでゲームやビジネス向けアプリケーションにプラットフォームとしてMicrosoftの製品が使われているのだと思いますよ。
Re: (スコア:0)
なんか負け犬の遠吠えにしか見えませんよ。
勝手に後出しの条件だしてほざいているコメントってバカにもほどがあります。
”意図を考えれば、少なくとも1995年前後かそれ以前の記憶を辿るべきです。”
→記憶ですか。私の記憶にはあります。証明おわり。
Re: (スコア:0)
> それは言い過ぎ。
ハハ…。
> Googleは善悪両面を持っているだけで、総合的には邪悪にばかり偏っている訳ではない。
それはMSにも言えるよね。
邪悪なことばかりやっていたなら、それは反社会的組織だよ。
> それ以前のMSはいかなる第三者によっても決して好意的に語られる
> 事のない邪悪そのものの地位を確立していた。
はて?
どこかのパラレルワールドの話?
そんなに悪名高かったかな。
その頃のMSよりも嫌われている会社って他にもあったのよ。
AOLとか筆頭で嫌われていたし、あ、今どきの若者はAOLなんて知らないか。
Re: (スコア:0)
少なくとも Windows98 の頃から脆弱性が見つかれば修正しようとしていたし、
パッチは無償で公開していたように思います。
その態度は Microsoft SQL Server のような製品であってもそうで、
対して Oracle は・・・みたいな話はよくしてた記憶。
Re: (スコア:0)
> どこかのパラレルワールドの話?
> そんなに悪名高かったかな。
1990年代のMSにすら悪名を聞かないというのなら、MSの邪悪の汚名はまさに濡れ衣以外の何物でもないと言えるでしょう。
そう思う人が多数いるのであれば、それはそれで私としては結構な話です。
Re:Googleは脆弱性情報を公開しない (スコア:1)
MSの未公開の脆弱性で、修正パッチの検証が遅れていることを理由に情報公開を少し待ってくれ、というMSからのお願いに対して「知ったことか。90日で公開することにしてる」と公表しちゃうGoogle。
それなのにGoogleの抱える脆弱性については未公開のまま半年近くも放置。
修正しても修正した脆弱性についての情報も公表しない。
そういう他社には厳しすぎるくせに自分たちには甘い基準でセキュリティを語るGoogleってどうなのよ?
という話ですよね。
少し古いAndroidも放置だしなー。
Re: (スコア:0)
どうもこうもGoogleは単なる営利企業だからね。儲けがすべて
MSとは違うのだよ
Re: (スコア:0)
え?どう違うの?
Re: (スコア:0)
それどころか他者の脆弱性を勝手に公開してユーザーを危険に晒すのがグーグルです
Re: (スコア:0)
poodleって通信が暗号化されているから検知が難しくて
エラーの発生頻度くらいしか検知の手がかりが無いんじゃなかったでしたっけ?
サーバによってはログすら残りませんし・・・
攻撃に利用されていないと言い切れるものなの?
強度が弱いと指摘されている20年近くも前の暗号化にしがみつく必要があるんでしょうかね
だからもうJavaは使うなとあれほど (スコア:0)
まったく
Re:だからもうJavaは使うなとあれほど (スコア:1)
そういうあなたのおすすめは?まさかCではあるまい。
Re: (スコア:0)
そんな前時代的なモノ使うわけないですよね。
Scalaに決まってるじゃないですか。