Ове информације су намењене програмерима који су примили поруку јер имају апликације које користе верзију GnuTLS-а (библиотеке за комуникацију која примењује SSL, TLS и DTLS протоколе) која садржи безбедносни пропуст. Ове апликације крше одредбу Опасни производи у Смерницама за садржај и одељак 4.4 Уговора о дистрибуцији за програмере.
Што пре надоградите апликације и повећајте број верзије надограђеног APK-а. Google Play неће прихватати апликације и ажурирања апликације који садрже пропусте у библиотеци GnuTLS. Ако користите библиотеку треће стране која обухвата GnuTLS, обавестите трећу страну и сарађујте на решавању овог проблема.
Шта се дешава
Погледајте обавештење у Play конзоли. Уклонићемо из Google Play-а све апликације које и после датума наведених у Play конзоли буду садржале безбедносне пропусте.
Треба да реагујете
- Пријавите се у Play конзолу и идите до одељка Обавештења да бисте видели које апликације су угрожене и рокове за решавање тих проблема.
- Ажурирајте апликације на које се ово односи и исправите пропусте.
- Пошаљите ажуриране верзије апликација на које се ово односи.
Када је поново пошаљете, апликација ће поново бити прегледана. Овај процес може да потраје неколико сати. Ако апликација прође преглед и буде објављена, не треба ништа више да предузимате. Ако апликација не прође преглед, онда нова верзија апликације неће бити објављена, а ви ћете добити обавештење имејлом.
Додатне информације
Пропуст је отклоњен у верзијама GnuTLS 3.1.25, GnuTLS 3.2.15 и GnuTLS 3.3.4. Најновије верзије GnuTLS-а могу да се преузимају са веб-сајта за GnuTLS. Помоћ при надоградњи потражите у документацији за подршку за GnuTLS.
Због грешке у начину на који ваша верзија GnuTLS-а рашчлањује ИД-ове сесија, нападач може евентуално да изазове прекорачење међумеморије и да даљински контролише апликацију. Више информација о пропусту потражите на https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466.Ако имате других техничких питања, поставите их на Stack Overflow-у помоћу ознака „android-security“ и „GnuTLS“.
Напомена: Иако ови проблеми неће утицати на све апликације које користе верзије GnuTLS-а старије од верзија 3.1.25, 3.2.15 и 3.3.4, најбоље је да благовремено примењујете све безбедносне закрпе. Издвојите време да бисте ажурирали апликације које имају застареле зависне библиотеке или друге пропусте.
Пре него што објавите апликације, уверите се да су у складу са Уговором о дистрибуцији за програмере и Смерницама за садржај.
Ту смо да помогнемо
Ако имате техничких питања у вези са пропустом, можете да их поставите на Stack Overflow помоћу ознаке „android-security“. Да бисте разјаснили кораке које треба да предузмете да бисте решили овај проблем, можете да контактирате тим подршке за програмере.