Тази информация е предназначена за програмисти, които са получили съобщение, че имат приложения, използващи версия на GnuTLS (комуникационна библиотека, реализираща протоколите SSL, TLS и DTLS) с уязвимост в сигурността. Тези приложения нарушават клаузата за опасните продукти от Правилата за съдържанието и условията в раздел 4.4 на Споразумението с програмистите относно разпространението.
Моля, възможно най-скоро надстройте приложенията си и увеличете номера на версията на надстроения APK файл. В Google Play няма да се приемат приложения и актуализации, съдържащи уязвимостта в GnuTLS. Ако използвате библиотека на трета страна, която включва GnuTLS, моля, уведомете третата страна за проблема и работете съвместно по решаването му.
Какво се случва
Моля, вижте известието в профила си в Play Console. След крайните срокове, показани в Play Console, всички приложения, които съдържат уязвимости в сигурността, може да бъдат премахнати от Google Play.
Изисква се действие
- Влезте в профила си в Play Console и преминете към секцията „Сигнали“, за да видите засегнатите приложения и крайните срокове за решаване на тези проблеми.
- Актуализирайте засегнатите приложения и отстранете уязвимостта.
- Изпратете актуализираните версии на засегнатите приложения.
При повторно изпращане приложението ви ще бъде прегледано отново. Този процес може да отнеме няколко часа. Ако приложението премине проверката и бъде публикувано успешно, няма нужда да правите нищо повече. В противен случай новата му версия няма да бъде публикувана и ще получите известие по имейл.
Допълнителни подробности
Уязвимостта е отстранена в GnuTLS 3.1.25, GnuTLS 3.2.15 и GnuTLS 3.3.4. Можете да изтеглите най-новите версии на GnuTLS от уебсайта на библиотеката. За помощ при надстройването вижте документацията за поддръжка на GnuTLS.
Тъй като използваната от вас версия на GnuTLS неправилно провежда синтактичен анализ на идентификаторите на сесии, атакуващите потенциално могат да предизвикат препълване на буфера и контролират отдалечено приложението ви. За още информация относно уязвимостта, моля, вижте https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Ако имате други технически въпроси, можете да ги публикувате в Stack Overflow, като използвате маркерите android-security и GnuTLS.
Забележка: Макар че е възможно тези проблеми да не засягат всяко приложение, в което се използват версии на GnuTLS, по-стари от 3.1.25, 3.2.15 и 3.3.4, най-добре е да имате всички актуални корекции за сигурност. Моля, отделете време, за да актуализирате приложенията с неактуални зависими библиотеки или други уязвимости.
Преди да публикувате приложения, моля, проверете дали спазват Споразумението с програмистите относно разпространението и Правилата за съдържанието.
На ваше разположение сме
Ако имате технически въпроси относно уязвимостта, можете да ги публикувате в Stack Overflow и да използвате маркера android-security. За разяснение на стъпките, които трябва да изпълните, за да решите проблема, можете да се свържете с екипа ни за поддръжка за програмисти.