طريقة إصلاح التطبيقات التي تحتوي على ثغرة أمنية في GnuTLS

هذه المعلومات موجهة للمطوّرين الذين تلقوا رسالة نظرًا لاستخدام تطبيقاتهم إصدارًا من GnuTLS (مكتبة اتصالات تنفذ بروتوكولات SSL و TLS و DTLS) يتضمن ثغرات أمنية. وتنتهك هذه التطبيقات فقرة المنتجات الخطيرة من سياسة المحتوى والبند 4.4 من اتفاقية توزيع مطوّري البرامج. 

يُرجى نقل تطبيقاتك في أقرب وقت ممكن وزيادة رقم الإصدار لحزمة APK التي تمت ترقيتها.  سيرفض Google Play التطبيقات وتحديثات التطبيقات التي تتضمَّن ثغرة أمنية في GnuTLS. وإذا كنت تستخدم مكتبة تابعة لطرف ثالث تشتمل على GnuTLS، يُرجى إبلاغ الطرف الثالث والتعاون معه لمعالجة المشكلة.

تحليل المشكلة

يُرجى الرجوع إلى الإشعار في حسابك على Play Console. وبعد مرور المواعيد النهائية الموضّحة في حسابك على Play Console، قد يتم حذف أيّ تطبيقات تحتوي على ثغرات أمنية لم يتم إصلاحها من Google Play.

الإجراء المطلوب​

1. سجِّل الدخول إلى حسابك على Play Console، وانتقِل إلى قسم "التنبيهات" لمعرفة التطبيقات المتأثرة بالثغرة الأمنية والمواعيد النهائية لحلّ هذه المشاكل.
2. حدِّث تطبيقاتك المتأثرة بالثغرة الأمنية وأصلِحها.
3. أرسِل النسخ المُحدّثة من تطبيقاتك المتأثرة بالثغرة الأمنية.

وفور إعادة الإرسال، سيخضع تطبيقك للمراجعة مرة أخرى. ويمكن أن تستغرق هذه العملية عدة ساعات. وإذا اجتاز التطبيق المراجعة وتم نشره بنجاح، لا يلزم اتخاذ أيّ إجراء آخر. وإذا تعذّر على التطبيق اجتياز المراجعة، لن يتم نشر إصدار التطبيق الجديد وستتلقى إشعارًا عبر البريد الإلكتروني.

تفاصيل إضافية

تمت معالجة الثغرة الأمنية في GnuTLS 3.1.25 وGnuTLS 3.2.15 وGnuTLS 3.3.4. يمكن تنزيل أحدث إصدارات GnuTLS من موقع GnuTLS على الويب.  وللحصول على مساعدة بخصوص الترقية، راجع وثائق دعم GnuTLS.

نظرًا لوجود خلل في طريقة تحليل إصدارك من GnuTLS لمعرِّفات الجلسات، من المحتمل أن يتمكن المهاجم من تشغيل تجاوز سعة المخزن المؤقت والتحكم في تطبيقك عن بُعد.  للحصول على المزيد من المعلومات عن الثغرة الأمنية، يُرجى الاطّلاع على https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. يُرجى الاطّلاع على . لطرح أسئلة فنية أخرى، يُرجى النشر على Stack Overflow واستخدام العلامتين "android-security" و"GnuTLS".

ملاحظة: قد لا تؤثر هذه المشاكل في كل تطبيق يستخدم إصدارات GnuTLS التي تسبق الإصدارات 3.1.25 و3.2.15 و3.3.4، ولكن يفضَّل التحديث دائمًا إلى جميع رموز تصحيحات الأمان. يُرجى تخصيص بعض الوقت لتحديث التطبيقات التي تشتمل على مكتبات تابعة قديمة أو ثغرات أمنية أخرى.

قبل نشر التطبيقات، يُرجى التأكد من أنها متوافقة مع اتفاقية توزيع مطوّري البرامج وسياسة المحتوى. 

تسرّنا مساعدتك

إذا كان لديك أسئلة فنية بشأن الثغرات، يمكنك طرحها على موقع Stack Overflow واستخدام العلامة "android-security". لمزيد من التوضيح بشأن الخطوات المطلوبة لحلّ هذه المشكلة، يمكنك التواصل مع فريق دعم مطوّري البرامج.