Предупреждение OpenSSL в Google Play Worklight 6.2.0

Question

У меня есть приложение, опубликованное в Google Play, и я получил электронное письмо с сообщением о том, что у моего приложения есть проблема с версией Кордовы и версией OpenSSL. Я загрузил и применил исправление в своем приложении для WorkLight 6.0.2 и перестроил его и переустановил в Google Store. Предупреждение Кордовы прекратилось, но OpenSSL все еще там.

Моя Worklight версия:

Я сделал Grep на мой файл .apk и имел этот результат:

unzip -p myApp.apk | strings | grep "OpenSSL"

и

Чтение некоторые статьи, которые я думаю, что проблема заключается в OpenSSL 1.0.xxx, и видя результаты Grep у меня есть две версии OpenSSL 1.0.1 и 1.1.0. Я не знаю, есть ли в моем приложении библиотека из третьей части, использующая старую версию OpenSSL. Я использую Xtify в этом проекте. Может, здесь проблема?

Я знаю, что переполнение стека было еще сообщения об этой проблеме OpenSSL но никто об этой проблеме на Worklight + xtify.

спасибо!

Answer 1

Обратите внимание, что Worklight v6.0.2 не уязвим для CVE-2016-0701 и CVE-2015-3197.

Однако мы знаем, что Google отмечает версию OpenSSL, в настоящее время встроенную в Worklight v6.0.2. Мы обновляем библиотеку OpenSSL, чтобы убедиться, что она не продолжает вызывать ложные срабатывания в рамках процесса просмотра Google Play.

Проблема решается через iFix. APAR, который обращается к нему: PI60605 OPENSSL ПОЛУЧИЛ ОБНОВЛЕНИЯ БЕЗОПАСНОСТИ И ДОЛЖЕН БЫТЬ ОБНОВЛЕНА К 1.0.2F (105608).

Если у вас есть вопросы или опасения по поводу уязвимостей в нашем продукте, сообщите об этом через PMR.

Надеюсь, это поможет.