Nämä tiedot koskevat kehittäjiä, jotka saivat viestin tietoturvahaavoittuvuuksista heidän sovelluksissaan käytetyssä GnuTLS‑versiossa. Se on SSL-, TLS- ja DTLS-protokollia tukeva tietoliikennekirjasto. Kyseiset sovellukset rikkovat sisältökäytännön vaarallisten tuotteiden osiota sekä kehittäjien jakelusopimuksen kohtaa 4.4.
Päivitä sovelluksesi mahdollisimman pian ja muokkaa päivitetyn APK:n versionumeroa. Google Play ei hyväksy sovelluksia tai niiden päivityksiä, jos niissä on GnuTLS-haavoittuvuus. Jos käytät GnuTLS:n sisältävää kolmannen osapuolen kirjastoa, ota yhteyttä tähän kolmanteen osapuoleen asian ratkaisemiseksi.
Mistä on kyse?
Lue lisää Play Consolen ilmoituksesta. Play Consolessa näytettyjen määräaikojen jälkeen korjaamattomia tietosuojahaavoittuvuuksia sisältävät sovellukset poistetaan Google Playsta.
Edellyttää toimia
- Kirjaudu sisään Play Consoleen ja siirry ilmoitusosioon, niin näet, mihin sovelluksiin ongelmat vaikuttavat, ja määräajat niiden ratkaisemiselle.
- Päivitä kyseiset sovellukset ja korjaa haavoittuvuus.
- Lähetä sovellusten päivitetyt versiot.
Sovellus tarkastetaan lähetyksen yhteydessä uudelleen. Tässä voi kestää useita tunteja. Jos sovellus läpäisee tarkastuksen ja sen julkaisu onnistuu, lisätoimia ei tarvita. Jos sovellus ei läpäise tarkastusta, uutta sovellusversiota ei julkaista ja sinulle ilmoitetaan tästä sähköpostilla.
Lisätietoja
Haavoittuvuus on korjattu GnuTLS:n versioissa 3.1.25, 3.2.15 ja 3.3.4. Voit ladata GnuTLS:n uusimman version GnuTLS-sivustolta. Ohjeita päivittämiseen saat GnuTLS:n tukimateriaaleista.
Kyseisessä GnuTLS-versiossa istuntotunnusten jäsennyksessä on virhe, jota hyödyntämällä hyökkääjä voi aiheuttaa puskurin ylivuotovirheen ja ottaa sovelluksen hallintaansa etäyhteyden kautta. Saat lisätietoja haavoittuvuudesta osoitteessa https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Muita teknisiä kysymyksiä voit esittää Stack Overflow'ssa – merkitse kysymyksesi tageilla android-security ja GnuTLS.
Huom. Ongelmat eivät välttämättä koske kaikkia sovelluksia, joiden GnuTLS-versio on vanhempi kuin 3.1.25, 3.2.15 tai 3.3.4, mutta suosittelemme silti ottamaan aina käyttöön uusimmat tietosuojakorjaukset. Päivitä nyt sovelluksesi, joissa on vanhentuneita riippuvaisia kirjastoja tai muita haavoittuvuuksia.
Ennen kuin julkaiset sovelluksen, varmista, että se noudattaa kehittäjien jakelusopimusta ja sisältökäytäntöä.
Autamme mielellämme
Voit esittää teknisiä kysymyksiä haavoittuvuudesta Stack Overflow ‑sivustolla. Merkitse kysymyksesi android-security-tagilla. Jos tarvitset lisätietoja korjausvaiheista, ota yhteyttä kehittäjien tukitiimiimme.