Αυτές οι πληροφορίες προορίζονται για προγραμματιστές που έλαβαν ένα μήνυμα επειδή έχουν εφαρμογές που χρησιμοποιούν μια έκδοση του GnuTLS (μια βιβλιοθήκη επικοινωνιών που εφαρμόζει πρωτόκολλα SSL, TLS και DTLS) που περιέχει μια ευπάθεια ασφαλείας. Αυτές οι εφαρμογές παραβαίνουν τη διάταξη της Πολιτικής περιεχομένου περί Επικίνδυνων προϊόντων και την ενότητα 4.4 του Συμφωνητικού διανομής για προγραμματιστές.
Αναβαθμίστε τις εφαρμογές σας το συντομότερο δυνατό και αυξήστε τον αριθμό της έκδοσης του αναβαθμισμένου APK. Οι εφαρμογές και οι ενημερώσεις εφαρμογών που περιέχουν την ευπάθεια του GnuTLS δεν θα γίνονται αποδεκτές από το Google Play. Εάν χρησιμοποιείτε μια βιβλιοθήκη τρίτου μέρους η οποία περιλαμβάνει το GnuTLS, ενημερώστε το τρίτο μέρος και συνεργαστείτε μαζί του για να αντιμετωπίσετε το ζήτημα.
Τι συμβαίνει
Ανατρέξτε στην ειδοποίηση στο Play Console. Μετά την πάροδο των προθεσμιών που εμφανίζονται στο Play Console, όλες οι εφαρμογές με ευπάθειες ασφαλείας που δεν έχουν αντιμετωπιστεί μπορεί να καταργηθούν από το Google Play.
Απαιτείται ενέργεια
- Συνδεθείτε στο Play Console και μεταβείτε στην ενότητα Ειδοποιήσεις για να δείτε τις επηρεαζόμενες εφαρμογές και τις προθεσμίες για την επίλυση των σχετικών ζητημάτων.
- Ενημερώστε τις επηρεαζόμενες εφαρμογές και διορθώστε την ευπάθεια.
- Υποβάλετε τις ενημερωμένες εκδόσεις των επηρεαζόμενων εφαρμογών.
Μετά την επανυποβολή, η εφαρμογή σας θα ελεγχθεί ξανά. Αυτή η διαδικασία μπορεί να διαρκέσει αρκετές ώρες. Εάν ο έλεγχος της εφαρμογής ολοκληρωθεί χωρίς προβλήματα και η εφαρμογή δημοσιευτεί με επιτυχία, τότε δεν απαιτείται καμία άλλη ενέργεια. Εάν ο έλεγχος της εφαρμογής αποτύχει, τότε η νέα έκδοση της εφαρμογής δεν θα δημοσιευτεί και θα λάβετε σχετική ειδοποίηση με ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Πρόσθετα στοιχεία
Η ευπάθεια έχει αντιμετωπιστεί στις εκδόσεις GnuTLS 3.1.25, GnuTLS 3.2.15 και GnuTLS 3.3.4. Μπορείτε να κατεβάσετε τις πιο πρόσφατες εκδόσεις του GnuTLS από τον ιστότοπο του GnuTLS. Για βοήθεια σχετικά με την αναβάθμιση, ανατρέξτε στην τεκμηρίωση υποστήριξης του GnuTLS.
Λόγω ενός σφάλματος στον τρόπο με τον οποίο η έκδοση του GnuTLS που χρησιμοποιείτε αναλύει τα αναγνωριστικά των περιόδων σύνδεσης, ένας εισβολέας θα μπορούσε ενδεχομένως να προκαλέσει υπερχείλιση προσωρινής μνήμης και να αποκτήσει απομακρυσμένο έλεγχο της εφαρμογής σας. Για περισσότερες πληροφορίες σχετικά με την ευπάθεια, μεταβείτε στη διεύθυνση https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Για άλλες τεχνικές ερωτήσεις, δημοσιεύστε τις ερωτήσεις σας στον ιστότοπο Stack Overflow χρησιμοποιώντας τις ετικέτες "android-security" and "GnuTLS".
Σημείωση: Παρόλο που αυτά τα ζητήματα μπορεί να μην επηρεάζουν κάθε εφαρμογή που χρησιμοποιεί τις εκδόσεις του GnuTLS πριν από τις εκδόσεις 3.1.25, 3.2.15 και 3.3.4, είναι καλύτερο να εφαρμόζετε όλες τις ενημερώσεις κώδικα ασφαλείας. Αφιερώστε λίγο χρόνο για την ενημέρωση των εφαρμογών που έχουν μη ενημερωμένες εξαρτημένες βιβλιοθήκες ή άλλες ευπάθειες.
Πριν δημοσιεύσετε εφαρμογές, βεβαιωθείτε ότι συμμορφώνονται με το Συμφωνητικό διανομής για προγραμματιστές και την Πολιτική περιεχομένου.
Είμαστε εδώ για να σας βοηθήσουμε
Εάν έχετε τεχνικές ερωτήσεις σχετικά με τη συγκεκριμένη ευπάθεια, μπορείτε να τις δημοσιεύσετε στον ιστότοπο Stack Overflow με την ετικέτα "android-security". Για διευκρινίσεις σχετικά με τα βήματα που πρέπει να ακολουθήσετε για την επίλυση του προβλήματος, μπορείτε να επικοινωνήσετε με την ομάδα υποστήριξης προγραμματιστών.