Ця інформація призначена для розробників, які отримали повідомлення, оскільки їхні додатки використовують версію GnuTLS (бібліотеку звернень із застосуванням протоколів SSL, TLS і DTLS), у якій виявлено загрозу безпеці. Ці додатки порушують положення Політики щодо вмісту про небезпечні продукти та розділ 4.4 Договору розробника про розповсюдження.
Якомога швидше оновіть версію додатків і змініть номер версії оновлених файлів .apk. Додатки й оновлення, що містять уразливий елемент GnuTLS, не буде прийнято в Google Play. Якщо ви користуєтеся сторонньою бібліотекою GnuTLS, повідомте про це сторонніх розробників і спробуйте вирішити цю проблему разом із ними.
У чому проблема
Ознайомтеся зі сповіщенням у Play Console. Якщо ви не усунете вразливі елементи до вказаної дати, усі додатки із загрозами безпеці може бути видалено з Google Play.
Потрібна дія
- В обліковому записі Play Console перейдіть у розділ "Сповіщення" й перегляньте, у яких додатках є проблеми й до якої дати їх потрібно вирішити.
- Оновіть уражені додатки й усуньте вразливість.
- Надішліть оновлені версії цих додатків.
Коли ви надішлете оновлені версії, ми знову перевіримо їх. Це може тривати кілька годин. Якщо додаток буде успішно перевірено й опубліковано, більше нічого не потрібно робити. Якщо додаток не пройде перевірку, його нову версію не буде опубліковано, а ви отримаєте сповіщення електронною поштою.
Додаткова інформація
Загрозу безпеці усунено у версіях GnuTLS 3.1.25, GnuTLS 3.2.15 і GnuTLS 3.3.4. Останню версію GnuTLS можна завантажити з веб-сайту GnuTLS. Щоб отримати допомогу щодо оновлення, перегляньте довідкову документацію GnuTLS.
Через помилку під час аналізу версією GnuTLS ідентифікаторів сеансу зловмисник потенційно може ініціювати переповнення буфера та віддалено керувати вашим додатком. Більше про загрозу безпеці читайте на сторінці https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Технічні запитання можна публікувати на сторінці Stack Overflow із тегами "android-security" й "GnuTLS".
Примітка. Хоча ці проблеми виникають не в усіх додатках, які використовують версії GnuTLS, старіші за 3.1.25, 3.2.15 і 3.3.4, радимо завжди встановлювати найновіші виправлення системи безпеки. Оновіть додатки із застарілими бібліотеками або іншими вразливими місцями.
Перш ніж публікувати додаток, переконайтеся, що він відповідає положенням Договору розробника про розповсюдження та Політики щодо вмісту.
Ми завжди раді допомогти
Якщо у вас є інші технічні запитання про вразливості, опублікуйте їх на сайті Stack Overflow з тегом android-security. Щоб дізнатися більше про дії для вирішення цієї проблеми, зв’яжіться зі службою підтримки розробників.