本文面向的是因为发布的应用利用了存在安全漏洞的 GnuTLS(一种实现 SSL、TLS 和 DTLS 协议的通信库)版本而收到相关消息的开发者。这些应用违反了内容政策中关于危险产品的规定和《开发者分发协议》第 4.4 条的相关规定。
请尽快升级您的应用并增加升级版 APK 的版本号。Google Play 不会接受存在 GnuTLS 漏洞的应用和应用更新。如果是您使用的第三方库包含 GnuTLS,请通知该第三方,并与其合作解决此问题。
问题说明
请参阅 Play 管理中心内的通知。在 Play 管理中心内显示的截止日期过后,系统可能会将所有包含未修复安全漏洞的应用从 Google Play 中移除。
需要采取的行动
- 登录您的 Play 管理中心,然后转到“提醒”部分,了解受影响的应用以及解决这些问题的截止日期。
- 更新受影响的应用并修复相应漏洞。
- 提交受影响应用的更新版本。
重新提交后,我们会重新审核您的应用。审核过程可能需要几个小时才能完成。如果应用通过审核并成功发布,便无需进一步操作。如果应用未通过审核,则新版应用将无法发布,您会收到电子邮件通知。
更多详细信息
此漏洞在 GnuTLS 3.1.25、GnuTLS 3.2.15 和 GnuTLS 3.3.4 中已得到修复。您可以从 GnuTLS 网站下载最新版 GnuTLS。如需升级方面的帮助,请参阅 GnuTLS 支持文档。
由于您的 GnuTLS 版本解析会话 ID 的方式存在缺陷,攻击者可能会触发缓冲区溢出,然后远程控制您的应用。如需了解有关此漏洞的详细信息,请访问 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466。如果您有其他技术问题,请在 Stack Overflow 上发帖咨询(使用“android-security”和“GnuTLS”标签)。
注意:尽管这些问题并非一定会影响使用低于 3.1.25、3.2.15 和 3.3.4 的 GnuTLS 版本的所有应用,但我们仍建议您安装所有最新的安全补丁。另外,如果您的应用包含已过期的关联库或存在其他漏洞,请一并进行更新。
在发布应用前,请先确保这些应用符合开发者分发协议和内容政策的规定。
我们随时为您提供帮助
如果您针对此漏洞有技术方面的问题,可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。有关您需要采取哪些步骤来解决此问题的说明,请与我们的开发者支持团队联系。