A GnuTLS sebezhetőségét tartalmazó alkalmazások javítása

Ez az információ azoknak a fejlesztőknek szól, akik olyan üzenetet kaptak, mely szerint alkalmazásaik a GnuTLS (az SSL, TLS és DTLS protokollokat megvalósító kommunikációs függvénytár) biztonsági rést tartalmazó verzióját használják. Az ilyen alkalmazások sértik a Tartalmi irányelvek veszélyes termékekre vonatkozó rendelkezéseit, valamint a Fejlesztői terjesztési megállapodás 4.4. szakaszát

A lehető leghamarabb frissítsd alkalmazásaidat, és növeld a frissített APK-fájlok verziószámát.  A GnuTLS sebezhetőségét tartalmazó alkalmazásokat és alkalmazásfrissítéseket a Google Play nem fogadja el. Ha harmadik féltől származó olyan függvénytárat használsz, amelyikben megtalálható a GnuTLS is, értesítsd az adott felet, és közösen keressetek megoldást a problémára.

Mi történik?

A Play Console felületén lévő értesítésben további információt találhatsz. A Play Console felületén látható határidők után eltávolítjuk a Google Playből azokat az alkalmazásokat, amelyekben még megtalálható a sebezhetőség.

Teendők​

  1. Jelentkezz be a Play Console felületén, majd tekintsd át az Értesítések oldalon az érintett alkalmazásokat és a problémák megoldásának határidőit.
  2. Készíts frissítést az érintett alkalmazásokhoz, amely elhárítja a sebezhetőséget.
  3. Küldd be az érintett alkalmazások frissített verzióit.

A beküldés után alkalmazásodat ismét ellenőrizzük. A folyamat több órát is igénybe vehet. Ha az alkalmazás megfelel az ellenőrzésen, és ezt követően közzétesszük, nincs más teendőd. Ha az alkalmazás nem felel meg az ellenőrzésen, nem tesszük közzé az új verziót, hanem e-mailben értesítést küldünk a fejleményről.

Részletek

Ezt a biztonsági rést a GnuTLS 3.1.25, a GnuTLS 3.2.15 és a GnuTLS 3.3.4 verziókban kijavították. A GnuTLS legújabb verziói a GnuTLS webhelyéről tölthetők le.  Ha segítségre van szükséged a frissítéshez, olvasd el a GnuTLS támogatási dokumentációját.

Mivel az általad használt GnuTLS-verzió hibásan elemzi a munkamenet-azonosítókat, az esetleges támadó puffertúlcsordulást okozhat, és távolról átveheti az alkalmazás irányítását.  A biztonsági résről a https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466 oldalon tájékozódhatsz. Más technikai jellegű kérdéseidet a Stack Overflow webhelyen, az „android-security” és „GnuTLS” címkék használatával teheted fel.

Megjegyzés: Bár ezek a problémák nem feltétlenül vonatkoznak minden olyan alkalmazásra, amely a GnuTLS 3.1.25, 3.2.15 és 3.3.4 régebbi verzióinak valamelyikét használja, érdemes naprakésznek lenni a biztonsági javítások tekintetében. Kérjük, szánj időt azon alkalmazások frissítésére, amelyek elavult függőségekkel vagy más biztonsági résekkel rendelkeznek.

Alkalmazásaid közzététele előtt bizonyosodj meg arról, hogy megfelelnek a Fejlesztői terjesztési megállapodásnak és a tartalmi irányelveknek

Örömmel segítünk

A sebezhetőségre vonatkozó technikai kérdéseidet felteheted a Stack Overflow webhelyén, az „android-security” címkével ellátva. Ha a probléma megoldásának lépéseire vonatkozóan szeretnél tisztázni valamit, vedd fel a kapcsolatot fejlesztőtámogatási csapatunkkal.