Cette information est destinée aux développeurs ayant reçu un message, car ils possèdent une ou plusieurs applications qui utilisent une version de GnuTLS (bibliothèque de communication mettant en œuvre des protocoles SSL, TLS et DTLS) présentant une faille de sécurité. Ces applications ne respectent pas la clause Produits dangereux du règlement relatif au contenu ni la Section 4.4 du contrat relatif à la distribution (pour les développeurs).
Veuillez mettre à jour votre ou vos applications dès que possible, et modifier en conséquence le numéro de version du fichier APK mis à jour. Google Play n'acceptera pas les applications et mises à jour d'applications qui présentent la faille GnuTLS. Si vous utilisez une bibliothèque tierce qui inclut GnuTLS, veuillez en informer votre fournisseur de services afin que vous puissiez trouver une solution ensemble.
Que se passe-t-il ?
Veuillez consulter la notification dans la console Play. À l'issue des délais affichés dans votre console Play, les applications comportant des failles de sécurité non corrigées pourront être supprimées de Google Play.
Action requise
- Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
- Mettez à jour les applications concernées et corrigez la faille.
- Envoyez les versions mises à jour des applications concernées.
Votre application sera à nouveau examinée. Le processus peut durer plusieurs heures. Si votre application est approuvée et publiée, aucune autre action de votre part n'est requise. Si l'application n'est pas approuvée, sa nouvelle version ne sera pas publiée, et vous recevrez une notification par e-mail.
Informations supplémentaires
La faille a été corrigée dans GnuTLS 3.1.25, GnuTLS 3.2.15 et GnuTLS 3.3.4. Vous pouvez télécharger les dernières versions de GnuTLS sur le site Web GnuTLS. Si vous avez besoin d'aide pour la mise à niveau, consultez la documentation GnuTLS.
En raison d'un défaut lié à la manière dont votre version de GnuTLS analyse les identifiants de session, un pirate pourrait potentiellement déclencher un dépassement de tampon et contrôler votre application à distance. Pour plus d'informations sur cette faille, consultez la page https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Pour toute autre question technique, publiez un message sur le site Stack Overflow et utilisez les tags "android-security" et "GnuTLS".
Remarque : Même si ces problèmes n'affectent pas nécessairement toutes les applications qui utilisent des versions de GnuTLS antérieures à 3.1.25, 3.2.15 et 3.3.4, nous vous recommandons de vous tenir informé des correctifs de sécurité. Prenez le temps de mettre à jour les applications dont les bibliothèques sont obsolètes ou qui présentent d'autres failles.
Avant de publier des applications, assurez-vous qu'elles respectent le Contrat relatif à la distribution (pour les développeurs) et le Règlement relatif au contenu.
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.