Šī informācija ir paredzēta izstrādātājiem, kuri saņēma ziņojumu par savu(-ām) lietotni(-ēm), kam tiek izmantota GnuTLS (saziņas bibliotēka, kurā tiek izmantoti SSL, TLS un DTLS protokoli) versija ar drošības ievainojamību. Šādas lietotnes ir pretrunā ar satura politikas noteikumiem par bīstamiem produktiem un izstrādātāja izplatīšanas līguma 4.4. punktu.
Lūdzu, pēc iespējas drīzāk jauniniet savu(-as) lietotni(-es) un palieliniet jauninātā APK versijas numuru. Lietotnes un lietotņu atjauninājumi, kuros ir GnuTLS ievainojamība, netiks pieņemti pakalpojumā Google Play. Ja izmantojat trešās puses bibliotēku, kurā ir ietverta bibliotēka GnuTLS, lūdzu, brīdiniet šo trešo pusi un palīdziet tai novērst šo problēmu.
Problēma
Lūdzu, skatiet paziņojumu savā Play Console kontā. Pēc jūsu Play Console kontā norādītajiem termiņiem no pakalpojuma Google Play tiks noņemtas visas lietotnes, kurās nebūs novērsta drošības ievainojamība.
Nepieciešamā rīcība
- Pierakstieties savā Play Console kontā un sadaļā “Brīdinājumi” skatiet ietekmētās lietotnes un termiņus šo problēmu novēršanai.
- Atjauniniet savas ietekmētās lietotnes un novērsiet ievainojamību.
- Iesniedziet savu ietekmēto lietotņu atjauninātās versijas.
Pēc atkārtotas iesniegšanas jūsu lietotne tiks vēlreiz pārskatīta. Šis process var ilgt vairākas stundas. Ja pēc pārskatīšanas lietotne tiek apstiprināta un veiksmīgi publicēta, vairs nav jāveic nekādas darbības. Ja pēc pārskatīšanas lietotne netiek apstiprināta, tās jaunā versija netiek publicēta un jums tiek nosūtīts paziņojums pa e-pastu.
Papildinformācija
Ievainojamība tika novērsta bibliotēkā GnuTLS 3.1.25, GnuTLS 3.2.15 un GnuTLS 3.3.4. Jaunākās GnuTLS versijas var lejupielādēt GnuTLS vietnē. Lai saņemtu atbalstu jaunināšanā, skatiet GnuTLS atbalsta dokumentāciju.
Jūsu GnuTLS versija kļūdaini parsē sesiju ID, tādēļ uzbrucējs var potenciāli aktivizēt bufera pārpildi un attāli vadīt jūsu lietotni. Plašāku informāciju par ievainojamību skatiet šeit: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Ja jums ir citi tehniski jautājumi, publicējiet tos vietnē Stack Overflow, izmantojot atzīmes “android-security” un “GnuTLS”.
Piezīme. Lai gan šīs problēmas var neietekmēt visas lietotnes, kurās tiek izmantotas GnuTLS versijas, kas ir vecākas par versiju 3.1.25, 3.2.15 un 3.3.4, ieteicams lietot visus jaunākos drošības ielāpus. Izmantojiet šo periodu, lai atjauninātu lietotnes, kurās ir ietvertas novecojušas atkarīgās bibliotēkas vai pastāv cita veida ievainojamība.
Pirms lietotņu publicēšanas nodrošiniet to atbilstību izstrādātāja izplatīšanas līgumam un satura politikai.
Mēs jums palīdzēsim
Ja jums ir tehniski jautājumi par ievainojamību, varat tos publicēt vietnē Stack Overflow, izmantojot atzīmi “android-security”. Lai uzzinātu, kā novērst šo problēmu, varat sazināties ar mūsu izstrādātāju atbalsta komandu.