Tieto informácie sú určené pre vývojárov, ktorí dostali správu, pretože majú aplikácie využívajúce verziu platformy GnuTLS (komunikačnej knižnice implementujúcej protokoly SSL, TLS a DTLS) obsahujúcu chybu zabezpečenia. Tieto aplikácie porušujú ustanovenie týkajúce sa nebezpečných produktov uvedené v pravidlách pre obsah a sekciu 4.4 distribučnej zmluvy pre vývojárov.
Inovujte svoje aplikácie čo najskôr a zvýšte číslo verzie inovovaného súboru APK. Aplikácie a aktualizácie aplikácií obsahujúce chybu zabezpečenia platformy GnuTLS služba Google Play neprijme. Ak používate knižnicu tretej strany, ktorá zahrnuje platformu GnuTLS, oznámte to príslušnej tretej strane a spolupracujte s ňou na vyriešení tohto problému.
Čo sa deje
Informácie nájdete v oznámení v službe Play Console. Po termínoch uvedených v službe Play Console z nej môžu byť odstránené všetky aplikácie s nevyriešenými chybami zabezpečenia.
Vyžaduje sa akcia
- Prihláste sa do služby Play Console, prejdite do časti Upozornenia a zistite termíny, dokedy treba problémy vyriešiť, a aplikácie, ktorých sa to týka.
- Aktualizujte príslušné aplikácie a chybu zabezpečenia odstráňte.
- Odošlite aktualizované verzie dotyčných aplikácií.
Po opätovnom odoslaní bude vaša aplikácia znova skontrolovaná. Tento proces môže trvať niekoľko hodín. Ak aplikácia úspešne prejde kontrolou a bude zverejnená, nie je potrebné vykonať žiadne ďalšie kroky. Ak aplikácia neprejde kontrolou, jej nová verzia sa nezverejní a dostanete upozornenie e‑mailom.
Ďalšie podrobnosti
Táto chyba bola vyriešená v knižniciach GnuTLS 3.1.25, GnuTLS 3.2.15 a GnuTLS 3.3.4. Najnovšie verzie knižnice GnuTLS si môžete stiahnuť na webe GnuTLS. Pomoc s inováciou získate v dokumentácii podpory pre knižnicu GnuTLS.
V dôsledku chyby v spôsobe, akým vaša verzia knižnice GnuTLS analyzuje identifikátory relácií, môže útočník potenciálne spôsobiť pretečenie vyrovnávacej pamäte a diaľkovo ovládať vašu aplikáciu. Ďalšie informácie o tejto chybe zabezpečenia nájdete na https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Ďalšie technické otázky uverejnite na webe Stack Overflow. Použite pri tom značky „android-security“ a „GnuTLS“.
Poznámka: Tieto problémy síce nemusia ovplyvniť všetky aplikácie využívajúce knižnicu GnuTLS vo verziách starších ako 3.1.25, 3.2.15 a 3.3.4, radšej však vždy používajte všetky aktuálne opravy zabezpečenia. Venujte chvíľu času aktualizácii aplikácií, ktoré používajú neaktuálne knižnice alebo obsahujú iné chyby zabezpečenia.
Pred zverejnením aplikácií sa uistite, že sú v súlade s distribučnou zmluvou pre vývojárov a pravidlami pre obsah.
Sme tu pre vás
V prípade technických otázok týkajúcich sa tejto chyby zabezpečenia môžete uverejniť príspevok na webe Stack Overflow. Použite v ňom značku android-security. Ak potrebujete ďalšie vysvetlenie postupu na vyriešenie tohto problému, kontaktujte tím podpory pre vývojárov.