Cách khắc phục các ứng dụng có lỗ hổng GnuTLS

Thông tin này dành cho các nhà phát triển đã nhận được thông báo vì họ có (các) ứng dụng sử dụng một phiên bản GnuTLS (thư viện truyền thông triển khai các giao thức SSL, TLS và DTLS) có lỗ hổng bảo mật. Các ứng dụng này vi phạm điều khoản về Sản phẩm nguy hiểm trong Chính sách nội dung và phần 4.4 trong Thỏa thuận phân phối dành cho nhà phát triển. 

Vui lòng nâng cấp (các) ứng dụng của bạn sớm nhất có thể và sử dụng APK nâng cấp có số phiên bản cao hơn.  Google Play sẽ không chấp nhận các ứng dụng và bản cập nhật ứng dụng có chứa lỗ hổng GnuTLS. Nếu bạn đang sử dụng thư viện của bên thứ ba bao gồm GnuTLS, vui lòng thông báo cho bên thứ ba và làm việc với họ để giải quyết sự cố này.

Chuyện gì sẽ xảy ra

Vui lòng tham khảo thông báo trên Play Console của bạn.Sau thời hạn hiển thị trong Play Console, chúng tôi có thể xóa mọi ứng dụng có lỗ hổng bảo mật chưa được khắc phục khỏi Google Play.

Hành động cần thiết

  1. Đăng nhập vào Play Console và chuyển đến phần Cảnh báo để xem những ứng dụng bị ảnh hưởng và thời hạn giải quyết những vấn đề này.
  2. Cập nhật các ứng dụng bị ảnh hưởng và khắc phục lỗ hổng.
  3. Gửi phiên bản cập nhật của các ứng dụng bị ảnh hưởng.

Sau khi bạn gửi lại, chúng tôi sẽ xem xét lại ứng dụng của bạn. Quá trình này có thể mất vài giờ. Nếu ứng dụng vượt qua quy trình xem xét và được xuất bản thành công thì bạn không cần thực hiện thêm hành động nào. Nếu ứng dụng không vượt qua được quy trình xem xét thì phiên bản ứng dụng mới sẽ không được xuất bản và bạn sẽ nhận được thông báo qua email.

Thông tin chi tiết bổ sung

Lỗ hổng này đã được khắc phục trong GnuTLS 3.1.25, GnuTLS 3.2.15 và GnuTLS 3.3.4. Bạn có thể tải phiên bản GnuTLS mới nhất xuống từ trang web GnuTLS.  Để được trợ giúp khi nâng cấp, hãy xem tài liệu hỗ trợ về GnuTLS.

Do đã xảy ra lỗi khi phiên bản GnuTLS của bạn phân tích cú pháp ID phiên nên kẻ tấn công có thể kích hoạt tràn vùng đệm và kiểm soát ứng dụng của bạn từ xa.  Để biết thêm thông tin về lỗ hổng bảo mật này, vui lòng xem https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466. Nếu bạn có các câu hỏi kỹ thuật khác, hãy đăng lên Stack Overflow và sử dụng thẻ “android-security” và “GnuTLS.”

Lưu ý: mặc dù các sự cố này có thể không ảnh hưởng đến mọi ứng dụng sử dụng các phiên bản GnuTLS trước 3.1.25, 3.2.15 và 3.3.4, nhưng tốt nhất là bạn nên duy trì cập nhật tất cả các bản vá bảo mật. Vui lòng dành thời gian để cập nhật các ứng dụng có thư viện phụ thuộc lỗi thời hoặc các lỗ hổng khác.

Trước khi xuất bản ứng dụng, vui lòng đảm bảo các ứng dụng đó tuân thủ Thỏa thuận phân phối dành cho nhà phát triểnChính sách nội dung

Chúng tôi sẵn sàng trợ giúp

Nếu có câu hỏi kỹ thuật về lỗ hổng bảo mật, bạn có thể đăng lên Stack Overflow và sử dụng thẻ “android-security”. Để biết rõ các bước cần thực hiện nhằm giải quyết vấn đề này, bạn có thể liên hệ với nhóm hỗ trợ nhà phát triển của chúng tôi.

Thông tin này có hữu ích không?

Chúng tôi có thể cải thiện trang này bằng cách nào?
false
Các ứng dụng của Google
Trình đơn chính
2960633983245529728
true
Tìm kiếm trong Trung tâm trợ giúp
true
true
true
true
true
5016068
false
false