1

Google Play でアプリを公開していますが、アプリの Cordova バージョンと OpenSSL バージョンに問題があるというメールを受け取りました。WorkLight 6.0.2 の修正プログラムをダウンロードしてアプリに適用し、再構築して Google ストアに再デプロイしました。Cordova の警告は停止しましたが、OpenSSL はまだ残っています。

私の WorkLight のバージョンは次のとおりです。

ワークライト バージョン

.apk ファイルに対して grep を実行したところ、次の結果が得られました。

unzip -p myApp.apk | strings | grep "OpenSSL"

OpenSSL grep



OpenSSL grep 2

いくつかの記事を読んで、問題は OpenSSL 1.0.xxx にあると推測し、grep の結果を見ると、2 つの OpenSSL バージョン 1.0.1 と 1.1.0 があります。私のアプリに古い OpenSSL バージョンを使用しているサードパーティ ライブラリがあるかどうかはわかりません。このプロジェクトでは Xtify を使用しています。多分ここに問題がありますか?

xtify バージョン

スタック オーバーフローには、この OpenSSL の問題に関する別の投稿があったことは知っていますが、worklight + xtify に関するこの問題については誰も投稿していません。

ありがとう!

4

1 に答える 1

3

Worklight v6.0.2 は、CVE-2016-0701 および CVE-2015-3197 に対して脆弱ではないことに注意してください。

ただし、現在 Worklight v6.0.2 に組み込まれている OpenSSL のバージョンに Google がフラグを立てていることは承知しています。Google Play のレビュー プロセスの一環として、OpenSSL ライブラリが引き続き誤検知をトリガーしないように、OpenSSL ライブラリを更新しています。

この問題は、iFix によって対処されています。これに対処する APAR は次のとおりです: PI60605 OPENSSL RECEIVED SECURITY UPDATES AND MUST BE UPGRADED TO 1.0.2F (105608)。

製品のセキュリティの脆弱性について質問や懸念がある場合は、PMR から報告してください。

これが役立つことを願っています。

于 2016-04-12T18:58:14.020 に答える