Cómo corregir aplicaciones con la vulnerabilidad GnuTLS

Esta información va dirigida a desarrolladores que han recibido un mensaje porque tienen aplicaciones que utilizan una versión de GnuTLS (una biblioteca de comunicaciones que implementa los protocolos SSL, TLS y DTLS) que contiene una vulnerabilidad de seguridad. Estas aplicaciones infringen la disposición sobre productos peligrosos de la política de contenido y la sección 4.4 del Acuerdo de Distribución para Desarrolladores. 

Actualiza tus aplicaciones lo antes posible y aumenta el número de versión de los APK actualizados.  Google Play no aceptará aplicaciones ni actualizaciones que contengan la vulnerabilidad GnuTLS. Si utilizas una biblioteca de terceros que incluya GnuTLS, ponte en contacto con el fabricante en cuestión para solucionar el problema.

¿Qué va a cambiar?

Consulta el aviso en Play Console. Una vez que finalice el plazo indicado en Play Console, es posible que las aplicaciones que contengan vulnerabilidades de seguridad sin corregir se retiren de Google Play.

Acción necesaria​

  1. Inicia sesión en Play Console y ve a la sección Alertas para consultar qué aplicaciones están afectadas y las fechas límite para resolver estos problemas.
  2. Actualiza las aplicaciones afectadas y corrige la vulnerabilidad.
  3. Envía las versiones actualizadas de las aplicaciones afectadas.

Cuando vuelvas a enviar tus aplicaciones, se revisarán de nuevo. Este proceso puede tardar varias horas en completarse. Si una aplicación supera el proceso de revisión y se publica, no tendrás que hacer nada más. De lo contrario, la nueva versión de la aplicación no se publicará y recibirás una notificación por correo electrónico.

Información adicional

La vulnerabilidad se solucionó en las versiones GnuTLS 3.1.25, GnuTLS 3.2.15 y GnuTLS 3.3.4. Las últimas versiones de GnuTLS se pueden descargar del sitio web de GnuTLS.  Si necesitas ayuda con la actualización, consulta la documentación de asistencia de GnuTLS.

Debido a un defecto en la forma en la que tu versión de GnuTLS analiza los ID de sesión, un atacante podría desencadenar un desbordamiento del búfer y controlar de forma remota tu aplicación.  Puedes consultar más información sobre la vulnerabilidad en https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Si tienes otras preguntas técnicas, publícalas en Stack Overflow usando las etiquetas "android-security" y "GnuTLS".

Nota: Aunque es posible que estos problemas no afecten a todas las aplicaciones que utilicen versiones de GnuTLS anteriores a 3.1.25, 3.2.15 y 3.3.4, te recomendamos que mantengas todos los parches de seguridad actualizados. Aprovecha la ocasión para actualizar las aplicaciones que tengan bibliotecas dependientes no actualizadas u otras vulnerabilidades.

Antes de publicar aplicaciones, comprueba que cumplan el Acuerdo de Distribución para Desarrolladores y la política de contenido

Queremos ayudarte

Si tienes alguna pregunta técnica sobre esta vulnerabilidad, puedes publicarla en Stack Overflow con la etiqueta "android-security". Ponte en contacto con nuestro equipo de asistencia para desarrolladores si necesitas más información para resolver este problema.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?