এই তথ্য সেই সমস্ত অ্যাপ্লিকেশানের বিকাশকারীদের জন্য যেগুলি Apache Cordova এর 4.1.1 এর আগের কোনও সংস্করণ ব্যবহার করে। এই সংস্করণগুলিতে নিরাপত্তা দুর্বলতা আছে এবং এগুলি সামগ্রী নীতির বিপজ্জনক পণ্য বিধান এবং বিকাশকারী বিতরণ চুক্তির অনুচ্ছেদ 4.4 লঙ্ঘন করে।
অনুগ্রহ করে যত তাড়াতাড়ি সম্ভব আপনার অ্যাপ্লিকেশান(গুলি) Apache Cordova v.4.1.1 বা উচ্চতর সংস্করণে স্থানান্তরিত করুন এবং আপগ্রেড করা APK এর সংস্করণ সংখ্যা বৃদ্ধি করুন। আপনি যদি কোনও ৩য় পক্ষের লাইব্রেরি ব্যবহার করেন যাতে Apache Cordova অন্তর্ভুক্ত আছে, অনুগ্রহ করে ৩য় পক্ষকে জানান এবং সমস্যাটির সমাধান করার জন্য তাদের সঙ্গে কাজ করুন।
দুর্বলতাগুলি এবং প্রতিকারের সময়সীমা
- CVE-2015-5256; Apache Cordova এর প্রাক-4.1.1 সংস্করণগুলির জন্য প্রযোজ্য। এই সংস্করণগুলির Android এ পরিচ্ছন্ন তালিকা সীমাবদ্ধতার ভুল প্রয়োগের প্রতি দুর্বলতা আছে। এর ফলে একটি দুর্বলতা তৈরি হয় যেখানে পরিচ্ছন্ন তালিকার সীমাবদ্ধতা সঠিকভাবে প্রয়োগ করা হয় না। পরিচ্ছন্ন তালিকা পাশ কাটিয়ে যাওয়ার জন্য ভুলভাবে তৈরি করা URIগুলি ব্যবহার করা হতে পারে, যা পরিচ্ছন্ন তালিকায় নেই এমন Javascript চালাতে দিতে পারে। ১১ই জুলাই, ২০১৬ থেকে Google Play এমন সমস্ত নতুন অ্যাপ্লিকেশান অথবা আপডেটের প্রকাশ অবরুদ্ধ করবে যেগুলি Apache Cordova এর প্রাক-4.1.1 সংস্করণ ব্যবহার করে।
- CVE-2015-1835; Apache Cordova এর প্রাক-4.0.2 সংস্করণগুলির জন্য প্রযোজ্য। এই সংস্করণগুলির Android এ Apache Cordova এর সেকেন্ডারি কনফিগারেশন ভেরিয়েবলগুলির দূর থেকে অপব্যবহার হওয়ার প্রতি দুর্বলতা আছে। প্রভাবিত যে অ্যাপ্লিকেশানগুলিতে Config.xml এ সুনির্দিষ্ট মানগুলি সেট করা নেই সেগুলিতে ইনটেন্টের মাধ্যমে অনির্দিষ্ট কনফিগারেশন ভেরিয়েবল সেট করা হতে পারে। এর ফলে অ্যাপ্লিকেশানে অবাঞ্ছিত ডায়ালগের আবির্ভাব ঘটতে পারে এবং অ্যাপ্লিকেশানের আচরণে পরিবর্তন দেখা দিতে পারে যার মধ্যে থাকতে পারে অ্যাপ্লিকেশানের জোর করে বন্ধ হয়ে যাওয়া। ১১ই জুলাই, ২০১৬ থেকে Google Play এমন সমস্ত নতুন অ্যাপ্লিকেশান অথবা আপডেটের প্রকাশ অবরুদ্ধ করবে যেগুলি Apache Cordova এর প্রাক-4.1.1 সংস্করণ ব্যবহার করে।
- CVE-2014-3502; Apache Cordova এর প্রাক--3.5.1 সংস্করণগুলির জন্য প্রযোজ্য। দুর্বলতাগুলির মধ্যে আছে উচ্চ গুরুত্বের ক্রস-অ্যাপ্লিকেশান স্ক্রিপ্টিং (XAS) দুর্বলতা। কিছু নির্দিষ্ট পরিস্থিতিতে, ব্যবহারকারীর লগইন শংসাপত্রের মত সংবেদনশীল তথ্য চুরি করার জন্য দুর্বল অ্যাপ্লিকেশানগুলিকে দূর থেকে কাজে লাগানো হতে পারে। এই দুর্বলতা প্রতিকারের সময়সীমা পেরিয়ে গেছে। Google Play এমন সমস্ত নতুন অ্যাপ্লিকেশান অথবা আপডেটের প্রকাশ অবরুদ্ধ করবে যেগুলিতে এই দুর্বলতা আছে।
আপগ্রেড করা এবং প্রযুক্তিগত প্রশ্নাবলী
আপগ্রেডে সহায়তার জন্য অনুগ্রহ করে Apache Cordova ওয়েবসাইট দেখুন। Apache Cordova সম্বন্ধে আপনার অন্যান্য প্রযুক্তিগত প্রশ্ন থাকলে অনুগ্রহ করে https://www.stackoverflow.com/questions এ পোস্ট করুন এবং "android-security" ও “cordova” ট্যাগ ব্যবহার করুন।
আপনি সঠিকভাবে আপগ্রেড করেছেন নিশ্চিত করার জন্য আপডেট করা সংস্করণ Developer Console এ জমা করুন এবং পাঁচ ঘণ্টা পরে ফিরে এসে পরীক্ষা করুন। অ্যাপ্লিকেশানটি সঠিকভাবে আপগ্রেড করা না হলে আমরা একটি সতর্কতা প্রদর্শন করবো।
দ্রষ্টব্য: যদিও এই সমস্যাগুলি Apache Cordova 4.1.1 এর আগের সংস্করণ ব্যবহার করে এমন সমস্ত অ্যাপ্লিকেশানকে প্রভাবিত নাও করতে পারে, তবু সমস্ত নিরাপত্তার সঠিক কোডের ক্ষেত্রে আপ টু ডেট থাকা সবচেয়ে ভালো। অনুগ্রহ করে এই সুযোগে সেই অ্যাপ্লিকেশানগুলি আপডেট করুন যেগুলির পুরনো নির্ভরশীল লাইব্রেরি বা অন্যান্য দুর্বলতা আছে।
অ্যাপ্লিকেশান প্রকাশ করার আগে, অনুগ্রহ করে নিশ্চিত করুন যে সেগুলি বিকাশকারী বিতরণ চুক্তি এবং সামগ্রী নীতির অনুবর্তী। আপনার যদি মনে হয় যে আমরা ভুল করে আপনাকে একটি Apache Cordova দুর্বলতা সতর্কীকরণ পাঠিয়েছি তাহলে Google Play বিকাশকারী সহায়তা কেন্দ্রের মাধ্যমে আমাদের সহায়তা টিমের সঙ্গে যোগাযোগ করুন।