Te informacije so namenjene razvijalcem, ki so prejeli sporočilo, ker imajo aplikacije, ki uporabljajo GnuTLS (komunikacijska knjižnica za izvedbo protokolov SSL, TLS in DTLS), ki ima varnostno ranljivost. Te aplikacije kršijo določilo pravilnika o vsebini glede nevarnih izdelkov in razdelek 4.4 pogodbe o distribuciji za razvijalce.
Čim prej nadgradite aplikacije in povečajte številko različice nadgrajenega APK-ja. Aplikacij in posodobitev aplikacij, ki vsebujejo ranljivost knjižnice GnuTLS, Google Play ne bo sprejel. Če uporabljate knjižnico drugega ponudnika, v katero je vključen GnuTLS, obvestite drugega ponudnika in poskusite skupaj odpraviti težavo.
Kaj se dogaja?
Preberite obvestilo v Konzoli Play. Morebitne aplikacije, ki imajo po rokih, navedenih v Konzoli Play, še vedno varnostne ranljivosti, bodo morda odstranjene iz Googla Play.
Potrebno ukrepanje
- Prijavite se v Konzolo Play in pojdite v razdelek Opozorila, kjer si lahko ogledate aplikacije, na katere se to nanaša, in roke, do katerih je treba odpraviti težave.
- Posodobite aplikacije, ki jih to zadeva, in odpravite ranljivost.
- Pošljite posodobljene različice aplikacij, ki jih to zadeva.
Ko aplikacijo znova pošljete, jo bomo spet pregledali. Ta postopek lahko traja več ur. Če aplikacija uspešno opravi pregled in je objavljena, ni potrebno dodatno ukrepanje. Če pregled ni uspešen, nova različica aplikacije ne bo objavljena in boste prejeli e-poštno obvestilo.
Dodatne informacije
Ranljivost je bila odpravljena v različicah GnuTLS 3.1.25, GnuTLS 3.2.15 in GnuTLS 3.3.4. Najnovejše različice knjižnice GnuTLS je mogoče prenesti s spletnega mesta knjižnice GnuTLS. Če potrebujete pomoč pri nadgradnji, si oglejte podporno dokumentacijo za GnuTLS.
Zaradi napake v načinu, kako vaša različica knjižnice GnuTLS razčlenjuje ID-je seje, bi napadalec lahko sprožil preplavitev medpomnilnika in na daljavo upravljal aplikacijo. Več informacij o ranljivosti je na voljo na https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Če imate druga tehnična vprašanja, jih objavite v Stack Overflow ter uporabite oznaki »android-security« in »GnuTLS«.
Opomba: čeprav te ranljivosti morda ne vplivajo na vse aplikacije, ki uporabljajo različice knjižnice GnuTLS, starejše od 3.1.25, 3.2.15 in 3.3.4, priporočamo, da imate nameščene vse najnovejše varnostne popravke. Vzemite si čas in posodobite aplikacije, ki imajo zastarele odvisne knjižnice ali druge ranljivosti.
Pred objavo aplikacij poskrbite, da bodo skladne s pogodbo o distribuciji za razvijalce in pravilnikom o vsebini.
Tu smo, da vam pomagamo
Če imate tehnična vprašanja glede ranljivosti, jih objavite v skupnosti Stack Overflow in uporabite oznako »android-security«. Če potrebujete pojasnilo postopka, ki ga morate uporabiti za odpravljanje te težave, se lahko obrnete na skupino za podporo razvijalcem.