Как устранить уязвимость GnuTLS в приложениях

Эта статья предназначена для разработчиков, в чьих приложениях используется содержащая уязвимость версия GnuTLS – библиотеки, которая обеспечивает поддержку протоколов SSL, TLS и DTLS. Такие приложения нарушают Правила в отношении контента (раздел Вредоносные продукты) и Соглашение о распространении программных продуктов (раздел 4.4). 

Как можно скорее внесите исправления в свои приложения и обновите номер версии APK-файла.  Приложения и обновления, содержащие уязвимость GnuTLS, не принимаются для публикации в Google Play. Если вы используете библиотеку другого разработчика, включающую GnuTLS, обратитесь к нему, чтобы устранить проблему.

Что происходит

Откройте Play Console и ознакомьтесь с уведомлением, которое мы оставили для вас. Когда наступит указанная в нем дата, приложения, содержащие неисправленные уязвимости, могут быть удалены из Google Play.

Что нужно сделать

  1. Чтобы узнать, какие приложения уязвимы и в какой срок нужно устранить проблему, войдите в Play Console и откройте раздел "Оповещения".
  2. Устраните уязвимость, внеся изменения в затронутые ей приложения.
  3. Опубликуйте обновленные версии приложений.

После этого мы проведем повторную проверку, которая может занять несколько часов. Если мы убедимся, что уязвимость устранена, то опубликуем приложение и дополнительных действий с вашей стороны не потребуется. В противном случае новая версия не будет опубликована, а вы получите уведомление по электронной почте.

Сведения об уязвимости

В версиях GnuTLS 3.1.25, 3.2.15 и 3.3.4 эта уязвимость была устранена. Последние версии GnuTLS можно скачать на официальном сайте.  При необходимости ознакомьтесь со справочными материалами GnuTLS.

Из-за уязвимости в процессе обработки идентификаторов сеансов злоумышленники могут вызвать переполнение буфера и управлять приложением удаленно.  Подробную информацию об этом можно найти здесь: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Если у вас есть другие технические вопросы, задайте их на сайте Stack Overflow (используйте теги android-security и GnuTLS).

Примечание. Хотя описанные проблемы могут затрагивать не все приложения, где применяется GnuTLS более ранних версий, чем 3.1.25, 3.2.15 и 3.3.4, лучше всего использовать последнюю версию библиотеки, в которой учтены все требования к безопасности. Мы настоятельно рекомендуем обновить приложения, при создании которых использовались устаревшие зависимые библиотеки и которые содержат другие уязвимости.

Прежде чем опубликовать приложение, убедитесь, что оно соответствует условиям Соглашения о распространении программных продуктов и Правилам в отношении контента

Как получить помощь

Если у вас есть вопросы, задайте их, используя тег android-security. Чтобы получить более подробные разъяснения, свяжитесь с командой поддержки для разработчиков.

Эта информация оказалась полезной?
Как можно улучшить эту статью?