Ove su informacije namijenjene razvojnim programerima koji su primili poruku zato što imaju aplikacije koje upotrebljavaju verziju GnuTLS-a (komunikacijska biblioteka koja implementira SSL, TLS i DTLS protokole) koja sadrži sigurnosnu ranjivost. Te aplikacije krše odredbu Opasni proizvodi Pravila o sadržaju i odjeljak 4.4 Ugovora o distribuciji za razvojne programere.
Što prije nadogradite svoju aplikaciju (ili više njih) i povećajte broj verzije nadograđenog APK-a. Google Play neće prihvatiti aplikacije i ažuriranja aplikacija koja sadrže ranjive verzije GnuTLS-a. Ako upotrebljavate biblioteku treće strane koja uključuje GnuTLS, obavijestite tu treću stranu i zajedno riješite problem.
Što se događa
Pogledajte obavijest na Play konzoli. Aplikacije koje budu sadržavale neriješene sigurnosne ranjivosti nakon rokova prikazanih na vašoj Play konzoli uklonit će se s Google Playa.
Potrebna je radnja
- Prijavite se na Play Console i u odjeljku Upozorenja pogledajte koje su aplikacije podložne ranjivostima i koji su rokovi za rješavanje tih poteškoća.
- Ažurirajte zahvaćene aplikacije i popravite ranjivosti.
- Pošaljite ažurirane verzije ranjivih aplikacija.
Nakon slanja ponovo ćemo pregledati vašu aplikaciju. Taj postupak može trajati nekoliko sati. Ako aplikacija prođe pregled i uspješno se objavi, ne morate više ništa poduzimati. Ako aplikacija ne prođe pregled, nova verzija aplikacije neće se objaviti i dobit ćete obavijest e-poštom.
Dodatne pojedinosti
Ta je ranjivost uklonjena u verzijama GnuTLS 3.1.25, GnuTLS 3.2.15 i GnuTLS 3.3.4. Najnovija verzija GnuTLS-a može se preuzeti na web-lokaciji GnuTLS-a. Pomoć za nadogradnju potražite u dokumentaciji za podršku za GnuTLS.
Zbog nedostatka u načinu na koji vaša verzija GnuTLS-a raščlanjuje ID-jeve sesija, napadač bi mogao pokrenuti prelijevanje međuspremnika i daljinski upravljati vašom aplikacijom. Više informacija o ranjivosti potražite na stranici https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Ostala tehnička pitanja možete objaviti na stranici Stack Overflow uz oznake “android-security” i “GnuTLS.”
Napomena: iako te poteškoće možda neće utjecati na sve aplikacije koje upotrebljavaju verzije GnuTLS-a starije od 3.1.25, 3.2.15 i 3.3.4, najbolje je ažurirati sve sigurnosne zakrpe. Aplikacije koje imaju zastarjele ovisne biblioteke ili druge ranjivosti svakako ažurirajte u zadanom roku.
Prije objavljivanja aplikacija provjerite jesu li u skladu s Ugovorom o distribuciji za razvojne programere i Pravilima o sadržaju.
Obratite nam se ako vam zatreba pomoć
Ako imate tehničkih pitanja o toj ranjivosti, možete objaviti post na Stack Overflowu uz oznaku "android-security". Ako vam je potrebno pojašnjenje postupka za rješavanje te poteškoće, možete se obratiti našem timu za podršku razvojnim programerima.