GnuTLS 취약점이 있는 앱 수정 방법

이 정보는 보안 취약점이 있는 GnuTLS(SSL, TLS, DTLS 프로토콜을 구현하는 커뮤니케이션 라이브러리)의 버전을 사용하는 앱으로 인해 메시지를 받은 개발자를 대상으로 합니다. 이러한 앱은 콘텐츠 정책의 위험한 제품 조항과 개발자 배포 계약의 4.4항을 위반하는 것입니다. 

최대한 빨리 앱을 업그레이드한 후 업그레이드된 APK 버전 번호를 높이세요.  GnuTLS 취약점을 포함하고 있는 앱 및 앱 업데이트는 Google Play에서 허용되지 않습니다. GnuTLS를 포함하는 타사 라이브러리를 사용 중인 경우 타사에 알려 함께 문제를 해결하시기 바랍니다.

현재 상태

Play Console의 공지를 참조하세요. Play Console에 표시된 기한이 지난 후에도 보안 취약점이 수정되지 않은 앱은 모두 Google Play에서 삭제될 수 있습니다.

필요한 조치​

  1. Play Console에 로그인한 후 알림 섹션으로 이동하여 영향을 받는 앱과 문제 해결 기한을 확인합니다.
  2. 영향을 받는 앱을 업데이트하여 취약점을 수정합니다.
  3. 영향을 받는 앱의 업데이트된 버전을 제출합니다.

제출된 앱은 다시 검토 절차를 거치게 되며 이 절차는 몇 시간 정도 걸릴 수 있습니다. 앱이 검토 과정을 통과하고 게시가 완료되면 더 이상의 조치가 필요하지 않습니다. 앱이 검토 과정을 통과하지 못할 경우 새로운 앱 버전은 게시되지 않으며 이메일 알림을 받게 됩니다.

추가 세부정보

이 취약점은 GnuTLS 3.1.25, GnuTLS 3.2.15, GnuTLS 3.3.4에서 해결되었습니다. GnuTLS 웹사이트에서 GnuTLS 최신 버전을 다운로드할 수 있습니다.  업그레이드 관련 지원이 필요하면 GnuTLS 지원 문서를 참조하세요.

GnuTLS 버전의 세션 ID 파싱 방식에 있는 결함으로 인해 공격자가 버퍼 오버플로를 트리거하여 앱을 원격 제어할 수 있습니다.  취약점에 관해 자세히 알아보려면 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466 페이지를 참조하세요. 다른 기술적인 문의사항이 있는 경우 'android-security'와 'GnuTLS' 태그를 사용하여 Stack Overflow에 게시하시기 바랍니다.

참고: 이러한 문제가 GnuTLS 3.1.25, 3.2.15, 3.3.4 이전 버전을 사용하는 모든 앱에 영향을 주는 것은 아니지만, 모든 보안 패치를 최신 상태로 유지하는 것이 가장 좋습니다. 이번 기회에 오래된 버전의 종속 라이브러리나 다른 취약점이 있는 앱을 업데이트하세요.

앱을 게시하기 전에 개발자 배포 계약콘텐츠 정책을 준수하는지 검토하시기 바랍니다. 

도움이 필요한 경우

취약점에 관한 기술적인 문의사항이 있다면 'android-security' 태그를 사용하여 Stack Overflow에 게시해 주시기 바랍니다. 문제 해결 단계에 관해 궁금한 점이 있으면 Google 개발자 지원팀에 문의해 주세요.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?