GnuTLS の脆弱性を含むアプリを修正する方法

この情報は、セキュリティに脆弱性のあるバージョンの GnuTLS(SSL、TLS、DTLS の各プロトコルを実装する通信ライブラリ)がアプリで使用されているという通知を受け取ったデベロッパーを対象としています。このようなアプリには、ユーザーデータを危機にさらすセキュリティ上の脆弱性が含まれています。

アプリをできる限り速やかにアップグレードし、アップグレードした APK のバージョン番号を更新してください。アプリやアプリのアップデートに GnuTLS の脆弱性が含まれている場合、Google Play での公開は認められません。GnuTLS を含むサードパーティ ライブラリをお使いの場合は、この問題の解決について該当のサードパーティにサポートを依頼してください。

状況

詳しくは Play Console の通知をご覧ください。Play Console に表示された期限を過ぎてもセキュリティの脆弱性が修正されていないアプリは、Google Play から削除される場合があります。

必要な対応

  1. Play Console にログインし、[アラート] セクションで該当するアプリや問題の解決期限を確認します。
  2. 該当のアプリを更新し、脆弱性を修正します。
  3. 該当するアプリの更新バージョンを送信します。

再送信すると、アプリは再度審査されます。審査には数時間ほどかかることがあります。アプリが審査に合格して正常に公開された場合は、これ以上の対応は不要です。アプリの審査が不合格となった場合は、新しいバージョンのアプリは公開されず、通知メールが届きます。

その他の詳細

この脆弱性は GnuTLS 3.1.25、GnuTLS 3.2.15、GnuTLS 3.3.4 で解決されました。GnuTLS の最新版は GnuTLS ウェブサイトからダウンロードできます。アップグレードについてサポートが必要な場合は、GnuTLS のサポートページをご覧ください。

ご利用のバージョンの GnuTLS は、セッション ID の解析方法に欠陥があるため、攻撃者によるバッファ オーバーフローの発生やアプリのリモート コントロールを引き起こすおそれがあります。この脆弱性について詳しくは、https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466 をご覧ください。その他の技術的な質問については、Stack Overflow にアクセスし、「android-security」と「GnuTLS」というタグを使って投稿してください。

注: こうした問題は、バージョン 3.1.25、3.2.15、3.3.4 より前の GnuTLS を使用するすべてのアプリに影響するとは限りませんが、セキュリティ パッチはいずれも常に最新の状態にしておくことをおすすめします。この機会に、古い従属ライブラリやその他の脆弱性を含むアプリを更新してください。

アプリを公開する前に、そのアプリがデベロッパー販売 / 配布契約コンテンツ ポリシーに準拠していることをご確認ください。

サポートのご案内

脆弱性に関する技術的なご質問については、Stack Overflow にご投稿ください。その際、「android-security」タグをご利用ください。この問題を解決するにあたって手順にご不明な点がある場合は、デベロッパー サポートチームにお問い合わせください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。