Google Play Worklight 6.2.0でのOpenSSL警告

Question

Google Playに公開されているアプリがあり、自分のアプリにCordovaバージョンとOpenSSLバージョンに関する問題があるというメールが届きました。私はWorkLight 6.0.2用のアプリケーションでダウンロードして修正を適用し、再構築してGoogle Storeに再デプロイしました。 Cordovaの警告は止まったが、OpenSSLはまだそこにある。

私のWorkLightのバージョンは次のとおりです。

​​

私は私の.apkファイルに対してgrepを行なったし、この結果を持っていた：

unzip -p myApp.apk | strings | grep "OpenSSL"

と

私は問題には、OpenSSL 1.0.xxxであることを推測するいくつかの記事を読む、とgrepの結果を見て私は2つのOpenSSLのバージョン1.0.1と1.1.0を持っています。私のアプリに古いOpenSSLバージョンを使用している3番目のライブラリがあるかどうかはわかりません。私はこのプロジェクトでXtifyを使用しています。多分ここに問題がありますか？

私は、スタックオーバーフローがこのOpenSSLの問題が、xtifyのWorkLight +でこの問題については誰についての他の記事を持っていたことを知っています。

ありがとうございました！

Answer 1

Worklight v6.0.2は、CVE-2016-0701およびCVE-2015-3197に対して脆弱ではありませんのでご注意ください。

しかし、Googleは現在、Worklight v6.0.2が組み込まれているOpenSSLのバージョンにフラグを立てていることを認識しています。 OpenSSLライブラリを更新して、Google Playレビュープロセスの一環として誤検出を引き続き起こさないようにしています。

問題はiFixを通じて対処されています。それに対処するAPARは：PI60605 OPENSSLで受け取ったセキュリティアップデートで、1.0.2F（105608）にアップグレードしなければなりません。

本製品のセキュリティ上の脆弱性に関するご質問やご不明な点がある場合は、PMRを通じて報告してください。

こちらがお役に立てば幸いです。