1

我在 Google Play 上发布了一个应用程序,我收到一封电子邮件,说我的应用程序在 Cordova 版本和 OpenSSL 版本方面存在问题。我为 WorkLight 6.0.2 下载并在我的应用程序上应用了一个修复程序,然后重新构建并重新部署到 Google 商店。Cordova 警告停止了,但 OpenSSL 仍然存在。

我的 WorkLight 版本是:

工作灯版本

我对我的 .apk 文件做了一个 grep 并得到了这个结果:

unzip -p myApp.apk | strings | grep "OpenSSL"

OpenSSL grep



OpenSSL grep 2

阅读一些文章我猜想问题出在 OpenSSL 1.0.xxx 上,看到 grep 结果我有两个 OpenSSL 版本 1.0.1 和 1.1.0。我不知道我的应用程序是否有一些使用旧 OpenSSL 版本的第三方库。我在这个项目中使用 Xtify。也许这就是问题所在?

xtify 版本

我知道堆栈溢出有关于这个 OpenSSL 问题的另一篇文章,但没有关于 worklight + xtify 上的这个问题的帖子。

谢谢!

4

1 回答 1

3

请注意,Worklight v6.0.2 不易受到 CVE-2016-0701 和 CVE-2015-3197 的攻击。

但是,我们知道 Google 正在标记当前嵌入 Worklight v6.0.2 的 OpenSSL 版本。我们正在更新 OpenSSL 库,以确保它不会在 Google Play 审核过程中继续触发误报。

该问题正在通过 iFix 解决。解决它的 APAR 是:PI60605 OPENSSL 收到安全更新,必须升级到 1.0.2F (105608)。

如果您对我们产品中的安全漏洞有任何疑问或疑虑,请通过 PMR 报告。

我希望这有帮助。

于 2016-04-12T18:58:14.020 回答