วิธีแก้ไขแอปที่มีช่องโหว่จาก GnuTLS

ข้อมูลนี้มีไว้สำหรับนักพัฒนาซอฟต์แวร์ที่ได้รับข้อความเนื่องจากมีแอปที่ใช้ GnuTLS (ไลบรารีการสื่อสารที่ใช้โปรโตคอล SSL, TLS และ DTLS) เวอร์ชันที่มีช่องโหว่ด้านความปลอดภัย แอปเหล่านี้ละเมิดข้อกำหนดผลิตภัณฑ์อันตรายของนโยบายเนื้อหาและข้อ 4.4 ของข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์ 

โปรดอัปเกรดแอปโดยเร็วที่สุดและเพิ่มตัวเลขเวอร์ชันของ APK ที่อัปเกรด  Google Play จะไม่ยอมรับแอปและอัปเดตแอปที่มีช่องโหว่จาก GnuTLS หากคุณใช้ไลบรารีของบุคคลที่สามที่มี GnuTLS โปรดแจ้งบุคคลที่สามรายนั้นและร่วมมือกันเพื่อจัดการปัญหานี้

สิ่งที่จะเกิดขึ้น

โปรดดูประกาศใน Play Console เราอาจนำแอปที่มีช่องโหว่ด้านความปลอดภัยที่ไม่มีการแก้ไขออกจาก Google Play หลังพ้นกำหนดเวลาที่แสดงใน Play Console

สิ่งที่ต้องดำเนินการ​

  1. ลงชื่อเข้าใช้ Play Console และไปที่ส่วนการแจ้งเตือนเพื่อดูแอปที่ได้รับผลกระทบและกำหนดเวลาในการแก้ไขปัญหาเหล่านี้
  2. อัปเดตแอปที่ได้รับผลกระทบและแก้ไขช่องโหว่
  3. ส่งเวอร์ชันที่อัปเดตของแอปที่ได้รับผลกระทบ

แอปของคุณจะได้รับการตรวจสอบอีกครั้งเมื่อมีการส่งใหม่ ขั้นตอนนี้อาจใช้เวลาหลายชั่วโมง หากแอปผ่านการตรวจสอบและเผยแพร่เรียบร้อยแล้ว คุณก็ไม่ต้องดำเนินการใดๆ เพิ่มเติม หากแอปไม่ผ่านการตรวจสอบ จะไม่มีการเผยแพร่แอปเวอร์ชันใหม่และคุณจะได้รับการแจ้งเตือนทางอีเมล

รายละเอียดเพิ่มเติม

ช่องโหว่นี้ได้รับการแก้ไขแล้วใน GnuTLS 3.1.25, GnuTLS 3.2.15 และ GnuTLS 3.3.4 ดาวน์โหลด GnuTLS เวอร์ชันล่าสุดได้จากเว็บไซต์ GnuTLS  หากต้องการความช่วยเหลือในการอัปเกรด โปรดดูเอกสารการสนับสนุนของ GnuTLS

เนื่องจาก GnuTLS เวอร์ชันที่คุณใช้มีข้อบกพร่องในการแยกวิเคราะห์รหัสเซสชัน ผู้โจมตีจึงอาจทำให้เกิดบัฟเฟอร์ล้นและควบคุมแอปของคุณจากระยะไกลได้  ดูข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ได้ที่ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466 สำหรับข้อสงสัยอื่นๆ ทางเทคนิค โปรดโพสต์ไว้ที่ Stack Overflow และใช้แท็ก “android-security” และ “GnuTLS”

หมายเหตุ: แม้ปัญหาเหล่านี้อาจส่งผลต่อแอปที่ใช้ GnuTLS เวอร์ชันก่อน 3.1.25, 3.2.15 และ 3.3.4 เพียงบางแอป แต่คุณควรอัปเดตแพตช์ความปลอดภัยทั้งหมดอยู่เสมอ โปรดสละเวลาเพื่ออัปเดตแอปที่มีไลบรารีที่ต้องอิงอาศัยกันที่ล้าสมัยแล้วหรือมีช่องโหว่อื่นๆ

ก่อนเผยแพร่แอป โปรดตรวจสอบว่าแอปมีคุณสมบัติตามข้อตกลงการจัดจำหน่ายของนักพัฒนาซอฟต์แวร์และนโยบายเนื้อหา 

เราพร้อมช่วยเหลือคุณ

หากมีคำถามทางเทคนิคเกี่ยวกับช่องโหว่ คุณโพสต์ถามได้ที่ Stack Overflow และใช้แท็ก “android-security” หากต้องการคำชี้แจงเกี่ยวกับขั้นตอนที่ต้องดำเนินการเพื่อแก้ไขปัญหานี้ โปรดติดต่อทีมสนับสนุนนักพัฒนาซอฟต์แวร์

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร