Deze informatie is bedoeld voor ontwikkelaars die een bericht hebben ontvangen omdat ze app(s) hebben die een versie van GnuTLS (een communicatiebibliotheek waarin SSL-, TLS- en DTLS-protocollen zijn geïmplementeerd) gebruiken waarin zich een beveiligingsprobleem voordoet. Deze apps zijn in strijd met de bepaling ten aanzien van gevaarlijke producten van het contentbeleid en artikel 4.4 van de distributieovereenkomst voor ontwikkelaars.
Upgrade uw app(s) zo snel mogelijk en verhoog het versienummer van de geüpgradede APK. Apps en app-updates met het GnuTLS-beveiligingsprobleem worden niet geaccepteerd door Google Play. Als u een bibliotheek van derden gebruikt die GnuTLS bevat, stelt u de derde partij hiervan op de hoogte en werkt u samen met deze partij om het probleem te verhelpen.
Wat er gebeurt
Bekijk de melding in uw Play Console.Na de deadlines die worden weergegeven in uw Play Console, worden apps met niet-opgeloste beveiligingsproblemen verwijderd uit Google Play.
Actie vereist
- Log in bij de Play Console en navigeer naar het gedeelte Meldingen om te zien welke apps het betreft en wat de deadlines zijn om deze problemen op te lossen.
- Update de betreffende apps en verhelp het probleem.
- Dien de geüpdatete versies van de betreffende apps in.
Nadat uw app opnieuw is ingediend, wordt deze opnieuw beoordeeld. Dit proces kan enkele uren duren. Als de app is goedgekeurd en is gepubliceerd, hoeft u verder geen actie te ondernemen. Als de app niet wordt goedgekeurd, wordt de nieuwe app-versie niet gepubliceerd en ontvangt u een e-mailmelding.
Aanvullende details
Het beveiligingsprobleem is verholpen in GnuTLS 3.1.25, GnuTLS 3.2.15 en GnuTLS 3.3.4. U kunt de nieuwste versies van GnuTLS downloaden via de GnuTLS-website. Bekijk de supportdocumentatie voor GnuTLS voor hulp bij upgrades.
Vanwege een fout in de manier waarop uw versie van GnuTLS de sessie-ID's parseert, kan een aanvaller een bufferoverloop veroorzaken en uw app op afstand beheren. Ga naar https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466 voor meer informatie over het beveiligingsprobleem. Als u andere technische vragen heeft, kunt u een bericht posten op Stack Overflow en de tags 'android-security' en 'GnuTLS' gebruiken.
Opmerking: Hoewel deze problemen mogelijk niet van invloed zijn op elke app waarvoor eerdere versies van GnuTLS dan 3.1.25, 3.2.15 en 3.3.4 worden gebruikt, is het goed om altijd de nieuwste beveiligingspatches te implementeren. Neem even de tijd om apps met verouderde bibliotheken of andere problemen te updaten.
Voordat u apps publiceert, moet u controleren of ze voldoen aan de distributieovereenkomst voor ontwikkelaars en het contentbeleid.
We helpen u graag
Als u technische vragen over de kwetsbaarheid heeft, kunt u een bericht posten op Stack Overflow en de tag 'android-security' gebruiken. Neem contact op met ons supportteam voor ontwikkelaars voor meer informatie over de stappen die u moet uitvoeren om dit probleem op te lossen.