如何修复存在 Portable SDK for UPnP 设备代码库安全漏洞的应用

本文面向的是发布的应用使用了 1.6.18 之前版本的 Portable SDK for UPnP 设备代码库(又称为 libupnp)的开发者。Libupnp 代码库可用于播放媒体文件或连接到用户网络内的其他设备。请尽快将您的应用迁移到 libupnp v1.6.18 或更高版本,并增加升级版 APK 的版本号。

问题说明

从 2016 年 5 月 9 日起,Google Play 开始禁止发布任何使用低于 1.6.18 的 libupnp 版本的新应用或应用更新。请参阅 Play 管理中心内的通知。Play 管理中心内显示的截止日期过后,系统可能会将所有包含未修复安全漏洞的应用从 Google Play 中移除。

需要采取的行动​

  1. 登录您的 Play 管理中心,然后转到“提醒”部分,了解受影响的应用以及解决这些问题的截止日期。
  2. 更新受影响的应用并修复该漏洞。
  3. 提交受影响应用的更新版本。

重新提交后,我们会重新审核您的应用。审核过程可能需要几个小时才能完成。如果应用通过审核并成功发布,便无需进一步操作。如果应用未通过审核,则新版应用将无法发布,您会收到电子邮件通知。

更多详细信息

此漏洞在 libupnp 1.6.18 中已得到解决。您可以从 libupnp 网站下载最新版 libupnp SDK。如需升级方面的帮助,请参阅 libupnp 支持页面。如果您使用的第三方库捆绑了 libupnp,则需要将其升级到捆绑 libupnp 1.6.18 或更高版本的版本。

受影响的 lipupnp 版本存在堆栈缓冲区溢出漏洞,攻击者可以利用该漏洞在受影响的设备上运行任意代码。有关此类安全漏洞的详细信息,请参阅这篇 TrendMicro 博文。如有其他技术问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”和“libupnp”标签)。

尽管这些具体问题可能不会影响每个使用 libupnp 的应用,但您最好安装所有最新的安全补丁。如果应用存在会让用户面临被入侵风险的漏洞,那么我们可能会因其违反内容政策和《开发者分发协议》第 4.4 条的规定而将其视为危险产品

此外,应用还必须遵守开发者分发协议内容政策

我们随时为您提供帮助

如果您针对此漏洞有技术方面的问题,可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。有关您需要采取哪些步骤来解决此问题的说明,请与我们的开发者支持团队联系。

该内容对您有帮助吗?

您有什么改进建议?
false
主菜单
5499889287118476896
true
搜索支持中心
true
true
true
true
true
5016068
false
false