यह जानकारी उन ऐप्लिकेशन के डेवलपर के लिए है जो Apache Cordova के वर्शन 4.1.1 से पहले वाले किसी भी वर्शन का इस्तेमाल कर रहे हैं. इन वर्शन में सुरक्षा के जोखिम की संभावनाएं हैं और ये सामग्री नीति के खतरनाक उत्पाद प्रावधान का और डेवलपर डिस्ट्रिब्यूशन अनुबंध की धारा 4.4 का उल्लंघन करते हैं.
कृपया जल्द से जल्द अपने ऐप्लिकेशन को Apache Cordova v.4.1.1 या इसके बाद के वर्शन में माइग्रेट कर लें. साथ ही, अपग्रेड किए गए APK का वर्शन नंबर बढ़ाएं. अगर आप तीसरे पक्ष की ऐसी लाइब्रेरी का इस्तेमाल कर रहे हैं जिसमें Apache Cordova शामिल है, तो कृपया तीसरे पक्ष को सूचना दें और समस्या हल करने के लिए उनके साथ मिलकर काम करें.
क्या हो रहा है
11 जुलाई, 2016 से, Google Play ने ऐसे सभी नए ऐप्लिकेशन या अपडेट को प्रकाशित होने से रोक दिया है जो Apache Cordova के वर्शन 4.1.1 से पहले वाले वर्शन का इस्तेमाल करते हैं. कृपया अपने Play कंसोल में सूचना देखें. आपके Play कंसोल में दिखाई जा रही आखिरी तारीख के बाद, ऐसे सभी ऐप्लिकेशन को Google Play से हटा दिया जाएगा जिनमें सुरक्षा के जोखिम की संभावनाएं मौजूद हैं.
कार्रवाई करना ज़रूरी है
- अपने Play कंसोल में साइन इन करें और 'चेतावनियां' सेक्शन पर जाकर देखें कि किन ऐप्लिकेशन पर असर हुआ है और इन समस्याओं को ठीक करने की आखिरी तारीखें क्या हैं.
- जिन ऐप्लिकेशन पर असर हुआ है उन्हें अपडेट करें और जोखिम की संभावना ठीक करें.
- आपके जिन ऐप्लिकेशन पर असर हुआ है उनके अपडेट किए गए वर्शन सबमिट करें.
दोबारा सबमिट करने पर, आपके ऐप्लिकेशन की फिर से समीक्षा की जाएगी. इस प्रक्रिया में कई घंटे लग सकते हैं. अगर ऐप्लिकेशन समीक्षा में पास हो जाता है और प्रकाशित हो जाता है, तो कुछ और करने की ज़रूरत नहीं है. अगर ऐप्लिकेशन समीक्षा में फ़ेल हो जाता है, तो ऐप्लिकेशन का नया वर्शन प्रकाशित नहीं किया जाएगा और आपको ईमेल से इसकी सूचना मिल जाएगी.
कुछ और जानकारी
- CVE-2015-5256; Apache Cordova के वर्शन 4.1.1 से पहले वाले वर्शन में मौजूद है. इन वर्शन में, Android के श्वेतसूची प्रतिबंधों को गलत तरीके से लागू किए जाने के जोखिम की संभावना है. इसकी वजह से उन जगहों पर जोखिम की संभावना होती है जहां श्वेतसूची प्रतिबंधों को ठीक से लागू नहीं किया गया है. गलत ढंग से बनाए गए यूआरएल का इस्तेमाल श्वेतसूची के नियम तोड़ने के लिए किया जा सकता है. इससे श्वेतसूची में शामिल नहीं की गई Javascript लागू की जा सकती है.
- CVE-2015-1835; Apache Cordova के वर्शन 4.0.2 से पहले वाले वर्शन में मौजूद है. इन वर्शन में, Android पर रिमोट रूप से Apache Cordova के दूसरे कॉन्फ़िगरेशन वैरिएबल के होने वाले गलत इस्तेमाल के जोखिम की संभावना है. जिन प्रभावित ऐप्लिकेशन में Config.xml में सटीक मान सेट नहीं हैं उनमें इंटेंट से सेट किए गए अपरिभाषित कॉन्फ़िगरेशन वैरिएबल हो सकते हैं. इससे ऐप्लिकेशन में अनचाहे डायलॉग दिखाई दे सकते हैं. साथ ही, ऐप्लिकेशन के व्यवहार में बदलाव आ सकते हैं जिनमें ऐप्लिकेशन का ज़बरदस्ती बंद होना शामिल है.
- CVE-2014-3502; Apache Cordova के 3.5.1 से पहले वाले वर्शन पर मौजूद होता है. जोखिम की संभावनाओं में ज़्यादा गंभीरता वाली क्रॉस-ऐप्लिकेशन स्क्रिप्टिंग (XAS) शामिल है. कुछ हालातों में, उपयोगकर्ता के लॉगिन क्रेडेंशियल जैसी संवेदनशील जानकारी चुराने के लिए रिमोट रूप से ऐसे ऐप्लिकेशन का गलत इस्तेमाल किया जा सकता है जिन पर आसानी से गड़बड़ी का असर होता है.
अपग्रेड करने का तरीका और तकनीकी सवाल
अपग्रेड करने में मदद पाने के लिए, कृपया Apache Cordova वेबसाइट देखें. अगर आपके पास Apache Cordova के बारे में दूसरे तकनीकी सवाल हैं, तो कृपया https://www.stackoverflow.com/questions में पोस्ट करें. साथ ही, “android-security” और “cordova” टैग का इस्तेमाल करें.
ध्यान दें: ज़रूरी नहीं कि इन समस्याओं का असर उन सभी ऐप्लिकेशन पर हो जो Apache Cordova के 4.1.1 वर्शन से पहले वाले वर्शन इस्तेमाल करते हैं. इसके बावजूद हर तरह के सुरक्षा पैच को अपडेट रखा जाना चाहिए. कृपया उन ऐप्लिकेशन को अपडेट करने के लिए समय निकालें जिनमें पुरानी हो चुकी लाइब्रेरी या जोखिम की दूसरी संभावनाएं हैं.
ऐप्लिकेशन प्रकाशित करने से पहले, यह ज़रूरी है कि ऐप्लिकेशन डेवलपर डिस्ट्रिब्यूशन अनुबंध और डेवलपर कार्यक्रम नीतियों का पालन करे.
हम मदद के लिए मौजूद हैं
अगर आप जोखिम की संभावना के बारे में तकनीकी सवाल पूछना चाहते हैं, तो आप Stack Overflow पर पोस्ट कर सकते हैं. साथ ही, “android-security” टैग का इस्तेमाल कर सकते हैं. इस समस्या को ठीक करने के लिए आपको जो कदम उठाने हैं उनके बारे में ज़्यादा जानकारी के लिए, आप हमारी डेवलपर सहायता टीम से संपर्क कर सकते हैं.