開發人員請注意,如果您收到訊息指出您的應用程式使用的 GnuTLS 版本 (實作 SSL、TLS 和 DTLS 通訊協定的通訊程式庫) 有安全漏洞,請詳閱本文資訊。這些應用程式違反了《內容政策》的危險產品條款和《開發人員發布協議》第 4.4 條。
請儘快將您的應用程式升級,並依照累加原則為升級的 APK 設定版本號碼。凡是含有 GnuTLS 安全漏洞的應用程式和更新內容,Google Play 一概不予接受。如果您所使用的第三方程式庫包含 GnuTLS,請通知該第三方,並與對方合作解決這個問題。
問題說明
請參閱 Play Console 的通知內容。在 Play Console 顯示的修正期限過後,Google Play 會將尚未修復安全漏洞的應用程式下架。
須採取行動
- 登入 Play Console,然後前往「快訊」專區查看受影響的應用程式以及解決這些問題的期限。
- 更新受影響的應用程式並修復安全漏洞。
- 提交受影響應用程式的更新版本。
我們將再次審查您重新提交的應用程式,過程可能需要數小時。如果應用程式可以通過審查並成功發布,您就不必採取進一步行動。如果應用程式未能通過審查,就無法發布新的版本,而且您將收到電子郵件通知。
其他詳細資訊
GnuTLS 3.1.25、GnuTLS 3.2.15 和 GnuTLS 3.3.4 的安全漏洞問題已解決。您可以在 GnuTLS 網站下載最新版的 GnuTLS。如需版本升級的相關協助,請參閱 GnuTLS 支援說明文件。
由於您的 GnuTLS 版本剖析工作階段 ID 的方式有瑕疵,攻擊者可能會藉此發動緩衝區溢位攻擊,從遠端控制您的應用程式。如要進一步瞭解安全漏洞,請參閱 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466。如有其他技術問題,請前往 Stack Overflow 張貼問題 (使用「android-security」和「GnuTLS」標記)。
注意:雖然不一定每個使用 GnuTLS 3.1.25、3.2.15 和 3.3.4 版本的應用程式都會受到這些問題影響,我們仍建議您安裝所有最新的安全修補程式。此外,如果應用程式含有過舊的相依程式庫或其他安全漏洞,也請您一併更新這類應用程式。
發布應用程式前,請確認應用程式符合《開發人員發布協議》和《內容政策》的規定。
我們很樂意提供協助
如有關於安全漏洞的技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。如需進一步瞭解這個問題的解決步驟,歡迎與開發人員支援小組聯絡。