Предупреждение OpenSSL в Google Play Worklight 6.2.0

У меня есть приложение, опубликованное в Google Play, и я получил электронное письмо, в котором говорится, что у моего приложения есть проблема с версией Cordova и версией OpenSSL. Я загрузил и применил исправление к своему приложению для WorkLight 6.0.2, перестроил и повторно развернул его в Google Store. Предупреждение Cordova прекратилось, но OpenSSL все еще существует.

Моя версия WorkLight:

Версия Worklight

Я выполнил grep для своего файла .apk и получил следующий результат:

unzip -p myApp.apk | strings | grep "OpenSSL"

OpenSSL grep

и

OpenSSL grep 2

Читая некоторые статьи, я предполагаю, что проблема в OpenSSL 1.0.xxx, и, увидев результаты grep, у меня есть две версии OpenSSL 1.0.1 и 1.1.0. Я не знаю, есть ли в моем приложении сторонняя библиотека, использующая старую версию OpenSSL. Я использую Xtify в этом проекте. Может здесь проблема?

xtify version

Я знаю, что у переполнения стека были другие сообщения об этой проблеме с OpenSSL, но никто не об этой проблеме на worklight + xtify.

Благодарность!


android openssl android-security ibm-mobilefirst xtify
person Diogo Ebert    schedule 12.04.2016    source источник
comment
Я знаю, что мой вопрос имеет ту же тему, что и другие вопросы, но этот вопрос направлен на Worklight + некоторую внешнюю библиотеку (xtify?). Итак, я думаю, что это не «дублированный» вопрос, как было отмечено.   -  person Diogo Ebert    schedule 13.04.2016

Ответы (1)


arrow_upward
3
arrow_downward

Обратите внимание, что Worklight v6.0.2 не уязвим для CVE-2016-0701 и CVE-2015-3197.

Однако нам известно, что Google помечает версию OpenSSL, встроенную в Worklight v6.0.2. Мы обновляем библиотеку OpenSSL, чтобы она больше не вызывала ложных срабатываний в рамках процесса проверки Google Play.

Проблема решается с помощью iFix. APAR, который обращается к этому: PI60605 OPENSSL ПОЛУЧИЛ ОБНОВЛЕНИЯ БЕЗОПАСНОСТИ И ДОЛЖЕН БЫТЬ ОБНОВЛЕН ДО 1.0.2F (105608).

Если у вас есть вопросы или опасения по поводу уязвимостей безопасности в нашем продукте, сообщите о них через PMR.

Надеюсь, это поможет.

person Namfo    schedule 12.04.2016
comment
Извините, но было адресовано кому и когда будет предоставлено исправление? Спасибо - person Diogo Ebert; 13.04.2016
comment
Привет Идан, спасибо за ваш ответ. Я пытался открыть PMR через веб-сайт и через службу поддержки программного обеспечения по телефону, но для открытия PMR мне нужен код клиента. У меня нет клиента. Я использую Worklight внутри. Знаете ли вы, как открыть PMR, будучи IBMER? - person Diogo Ebert; 14.04.2016
comment
Привет @eabe, извини. Моя версия WL - 6.2.0 вместо 6.0.2, как я указал в заголовке (теперь отредактировано до правильной версии 6.2.0). Вы предоставите исправление для этой версии (6.2.0)? Спасибо - person Diogo Ebert; 26.04.2016
comment
@DiogoEbert: Нет проблем, APAR обращается ко всем поддерживаемым версиям. - person eabe; 28.04.2016