Oprava aplikací s chybou zabezpečení knihovny GnuTLS

Tyto informace jsou určeny vývojářům, kteří obdrželi zprávu o tom, že jejich aplikace používají verzi knihovny GnuTLS (komunikační knihovna, která implementuje protokoly SSL, TLS a DTLS) s chybou zabezpečení. Tyto aplikace jsou v rozporu s ustanovením o nebezpečných produktech v obsahových zásadách a s odstavcem 4.4 distribuční smlouvy pro vývojáře. 

Co nejdříve aplikace upgradujte a zvyšte číslo verze upgradovaného souboru APK.  Aplikace ani aktualizace aplikací s chybou zabezpečení knihovny GnuTLS do služby Google Play nebudou přijaty. Pokud používáte knihovnu třetí strany, která zahrnuje knihovnu GnuTLS, informujte o tomto problému příslušnou třetí stranu a společně jej vyřešte.

K čemu dochází

Další informace najdete v oznámení ve službě Play Console. Po termínech uvedených v Play Console mohou být aplikace s neopravenými chybami zabezpečení z Google Play odstraněny.

Vyžadovaná akce

  1. Přihlaste se do Play Console a přejděte do sekce Upozornění, kde zjistíte, kterých aplikací se tento problém týká a do kdy je potřeba jej vyřešit.
  2. Aktualizujte dotčené aplikace a chybu zabezpečení opravte.
  3. Odešlete aktualizované verze dotčených aplikací.

Po odeslání bude aplikace znovu zkontrolována. Tento proces může trvat několik hodin. Pokud aplikace při kontrole projde a bude úspěšně publikována, není potřeba podnikat žádné další kroky. Jestliže aplikace při kontrole neprojde, nová verze aplikace nebude publikována a obdržíte e‑mailem oznámení.

Další podrobnosti

Tato chyba zabezpečení byla vyřešena ve verzích GnuTLS 3.1.25, GnuTLS 3.2.15 a GnuTLS 3.3.4. Nejnovější verze knihovny GnuTLS je k dispozici ke stažení na webu GnuTLS.  Nápovědu k upgradování naleznete v dokumentaci podpory knihovny GnuTLS.

Kvůli chybě ve způsobu předávání ID relací ve vaší verzi knihovny GnuTLS by útočník mohl potenciálně způsobit přetečení vyrovnávací paměti a vzdáleně vaši aplikaci ovládat.  Další informace ohledně chyby zabezpečení naleznete na stránce https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Jiné technické dotazy publikujte na stránce Stack Overflow. Použijte štítky „android-security“ a „GnuTLS“.

Poznámka: Ačkoli tyto problémy nemusejí mít dopad na každou aplikaci, která používá verzi knihovny GnuTLS starší než 3.1.25, 3.2.15 a 3.3.4, doporučujeme instalovat všechny opravy zabezpečení. Aplikace, které používají zastaralé knihovny nebo mají jiné chyby zabezpečení, během této doby aktualizujte.

Před publikováním aplikací se ujistěte, zda jsou v souladu s distribuční smlouvou pro vývojářeobsahovými zásadami

Rádi vám poradíme

Máte-li ohledně této zranitelnosti technické dotazy, publikuje příspěvek na webu Stack Overflow. Použijte štítek „android-security“. Pokud potřebujete poradit s jednotlivými kroky k řešení tohoto problému, obraťte se na náš tým podpory pro vývojáře.