Информацията по-долу е предназначена за програмисти на приложения, които използват версии на Apache Cordova, по-стари от 4.1.1. Тези версии имат уязвимости в сигурността и са в нарушение на клаузата за опасните продукти от Правилата за съдържанието и на условията в раздел 4.4 на Споразумението с програмистите относно разпространението.
Моля, мигрирайте приложението или съответно приложенията си до Apache Cordova 4.1.1 или по-нова версия възможно най-скоро и увеличете номера на версията на надстроения APK файл. Ако използвате библиотека на трета страна, която съдържа Apache Cordova, уведомете третата страна за проблема и работете съвместно по решаването му.
Какво се случва
От 11 юли 2016 г. Google Play започна да блокира публикуването на нови приложения и на актуализации, в които се използват версии на Apache Cordova, по-стари от 4.1.1. Моля, вижте известието в Play Console. След крайните срокове, показани в Play Console, всички приложения, които съдържат уязвимости в сигурността, може да бъдат премахнати от Google Play.
Изисква се действие
- Влезте в профила си в Play Console и преминете към секцията „Сигнали“, за да видите кои приложения са засегнати и крайните срокове за решаване на тези проблеми.
- Актуализирайте засегнатите приложения и отстранете уязвимостта.
- Изпратете актуализираните версии на засегнатите приложения.
При повторно изпращане приложението ви ще бъде прегледано отново. Този процес може да отнеме няколко часа. Ако приложението премине проверката и бъде публикувано успешно, няма нужда да правите нищо повече. В противен случай новата му версия няма да бъде публикувана и ще получите известие по имейл.
Допълнителни подробности
- CVE-2015-5256 – отнася се за версии на Apache Cordova, по-стари от 4.1.1. В тях има уязвимост, която води до погрешно прилагане на ограниченията на белия списък под Android. За заобикалянето им могат да се използват неправилно създадени URI адреси, позволяващи изпълнението на JavaScript код, който не е включен в списъка.
- CVE-2015-1835 – отнася се за версии на Apache Cordova, по-стари от 4.0.2. В тях има уязвимост, която дава възможност за отдалечено злонамерено използване на вторични конфигурационни променливи в Apache Cordova под Android. Засегнатите приложения, за които няма изрично зададени стойности в Config.xml, могат да имат недефинирани конфигурационни променливи, зададени чрез намерение (Intent). Това може да доведе до показването на нежелани диалогови прозорци в приложението и до промени в поведението му, включително до принудителното му затваряне.
- CVE-2014-3502 – отнася се за версии на Apache Cordova, по-стари от 3.5.1. Проблемите включват много сериозна уязвимост в скриптирането между приложенията (XAS). При определени обстоятелства уязвимите приложения могат да бъдат използвани отдалечено с цел кражба на поверителна информация, като например потребителски идентификационни данни за вход.
Надстройване и технически въпроси
За помощ при надстройването, моля, вижте уебсайта на Apache Cordova. Ако имате други технически въпроси относно Apache Cordova, можете да ги публикувате на адрес https://www.stackoverflow.com/questions и да използвате маркерите android-security и cordova.
Забележка: Макар че е възможно тези проблеми да не засегнат всяко приложение, в което се използват версии на Apache Cordova, по-стари от 4.1.1, най-добре е да имате всички актуални корекции за сигурност. Моля, отделете време, за да актуализирате приложенията с неактуални зависими библиотеки или други уязвимости.
Преди да публикувате приложения, моля, уверете се, че спазват Споразумението с програмистите относно разпространението и Правилата за съдържанието.
На ваше разположение сме
Ако имате технически въпроси относно уязвимостта, можете да ги публикувате в Stack Overflow и да използвате маркера android-security. За разяснение на стъпките, които трябва да изпълните, за да решите проблема, можете да се свържете с екипа ни за поддръжка за програмисти.