如何修復有 GnuTLS 安全漏洞的應用程式

開發人員請注意,如果您收到訊息指出您的應用程式使用的 GnuTLS 版本 (實作 SSL、TLS 和 DTLS 通訊協定的通訊程式庫) 有安全漏洞,請詳閱本文資訊。這些應用程式違反了《內容政策》的危險產品條款和《開發人員發布協議》第 4.4 條

請儘快將您的應用程式升級,並依照累加原則為升級的 APK 設定版本號碼。凡是含有 GnuTLS 安全漏洞的應用程式和更新內容,Google Play 一概不予接受。如果您所使用的第三方程式庫包含 GnuTLS,請通知該第三方,並與對方合作解決這個問題。

問題說明

請參閱 Play Console 的通知內容。Play Console 顯示的修正期限過後,Google Play 會將尚未修復安全漏洞的應用程式下架。

須採取行動​

  1. 登入 Play Console,然後前往「快訊」專區查看受影響的應用程式以及解決這些問題的期限。
  2. 更新受影響的應用程式並修復安全漏洞。
  3. 提交受影響應用程式的更新版本。

我們將再次審查您重新提交的應用程式,過程可能需要數小時。如果應用程式可以通過審查並成功發布,您就不必採取進一步行動。如果應用程式未能通過審查,就無法發布新的版本,而且您將收到電子郵件通知。

其他詳細資訊

GnuTLS 3.1.25、GnuTLS 3.2.15 和 GnuTLS 3.3.4 的安全漏洞問題已解決。您可以在 GnuTLS 網站下載最新版的 GnuTLS。如需版本升級的相關協助,請參閱 GnuTLS 支援說明文件

由於您的 GnuTLS 版本剖析工作階段 ID 的方式有瑕疵,攻擊者可能會藉此發動緩衝區溢位攻擊,從遠端控制您的應用程式。如要進一步瞭解安全漏洞,請參閱 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466。如有其他技術問題,請前往 Stack Overflow 張貼問題 (使用「android-security」和「GnuTLS」標記)。

注意:雖然不一定每個使用 GnuTLS 3.1.25、3.2.15 和 3.3.4 版本的應用程式都會受到這些問題影響,我們仍建議您安裝所有最新的安全修補程式。此外,如果應用程式含有過舊的相依程式庫或其他安全漏洞,也請您一併更新這類應用程式。

發布應用程式前,請確認應用程式符合《開發人員發布協議》和《內容政策》的規定。

我們很樂意提供協助

如有關於安全漏洞的技術問題,請前往 Stack Overflow 張貼問題並加上「android-security」標記。如需進一步瞭解這個問題的解決步驟,歡迎與開發人員支援小組聯絡。

這篇文章實用嗎?
我們應如何改進呢?