Google Play Worklight 6.2.0上的OpenSSL警告

Question

我在Google Play上发布了一个应用，但我收到一封电子邮件，说我的应用在Cordova版和OpenSSL版上存在问题。我在WorkLight 6.0.2的应用程序上下载并应用了一个修复程序，并重建并重新部署到Google Store。 Cordova警告停止了，但OpenSSL仍在那里。

我的WorkLight版本是：

我在我的.apk文件上做了一个grep并得到了这个结果：

unzip -p myApp.apk | strings | grep "OpenSSL"

和

阅读一些文章我猜这个问题出在OpenSSL 1.0.xxx上，看到grep结果我有两个OpenSSL版本1.0.1和1.1.0。我不知道我的应用程序是否有一些使用旧OpenSSL版本的第三方库。我在这个项目中使用了Xtify。也许这是问题？

我知道堆栈溢出有关于此OpenSSL问题的另一篇帖子，但没有人关于worklight + xtify上的这个问题。

谢谢！

Answer 1

请注意，Worklight v6.0.2不容易受到CVE-2016-0701和CVE-2015-3197的攻击。<​​/ p>

但是，我们知道Google正在标记当前嵌入了Worklight v6.0.2的OpenSSL版本。我们正在更新OpenSSL库，以确保它不会继续引发误报，这是Google Play审核流程的一部分。

该问题正在通过iFix解决。解决它的APAR是：PI60605 OPENSSL收到的安全更新，必须升级到1.0.2F（105608）。

如果您对我们产品中的安全漏洞有疑问或疑虑，请通过PMR报告。

我希望这会有所帮助。