Tyto informace jsou určeny vývojářům, kteří obdrželi zprávu o tom, že jejich aplikace používají verzi knihovny GnuTLS (komunikační knihovna, která implementuje protokoly SSL, TLS a DTLS) s chybou zabezpečení. Tyto aplikace jsou v rozporu s ustanovením o nebezpečných produktech v obsahových zásadách a s odstavcem 4.4 distribuční smlouvy pro vývojáře.
Co nejdříve aplikace upgradujte a zvyšte číslo verze upgradovaného souboru APK. Aplikace ani aktualizace aplikací s chybou zabezpečení knihovny GnuTLS do služby Google Play nebudou přijaty. Pokud používáte knihovnu třetí strany, která zahrnuje knihovnu GnuTLS, informujte o tomto problému příslušnou třetí stranu a společně jej vyřešte.
K čemu dochází
Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.
Vyžadovaná akce
- Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
- Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
- Odešlete aktualizované verze dotčených aplikací.
Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.
Další podrobnosti
Tato chyba zabezpečení byla vyřešena ve verzích GnuTLS 3.1.25, GnuTLS 3.2.15 a GnuTLS 3.3.4. Nejnovější verze knihovny GnuTLS je k dispozici ke stažení na webu GnuTLS. Nápovědu k upgradování naleznete v dokumentaci podpory knihovny GnuTLS.
Kvůli chybě ve způsobu předávání ID relací ve vaší verzi knihovny GnuTLS by útočník mohl potenciálně způsobit přetečení vyrovnávací paměti a vzdáleně vaši aplikaci ovládat. Další informace ohledně chyby zabezpečení naleznete na stránce https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Jiné technické dotazy publikujte na stránce Stack Overflow. Použijte štítky „android-security“ a „GnuTLS“.
Poznámka: Ačkoli tyto problémy nemusejí mít dopad na každou aplikaci, která používá verzi knihovny GnuTLS starší než 3.1.25, 3.2.15 a 3.3.4, doporučujeme instalovat všechny opravy zabezpečení. Aplikace, které používají zastaralé knihovny nebo mají jiné chyby zabezpečení, během této doby aktualizujte.
Před publikováním aplikací se ujistěte, zda jsou v souladu s distribuční smlouvou pro vývojáře a obsahovými zásadami.
Rádi vám poradíme
Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.