我对谷歌Play商店的应用程序。 最近我有一个邮件进行:
Google Play 60-day deadline for resolving OpenSSL vulnerabilities
它说,我使用的OpenSSL版本,它很容易受到一些问题。 不过,我不能直接使用OpenSSL。 我使用OpenTok库进行视频聊天功能,它内部使用OpenSSL的。 我目前使用openTok SDK 2.3.1版。 但根据这个链接http://www.tokbox.com/blog/mobile-sdks-2-2-1-resolve-openssl-vulnerability/所有的OpenSSL漏洞从SDK 2.2.1版本开始得到解决。 (我目前使用2.3.1,里面传来以后必须2.2.1后)
我用下面的命令在我的Android应用程序(APK文件):
$ unzip -p YourApp.apk | strings | grep "OpenSSL"
我得到了下面的日志:
"OpenSSL"
GmsCore_OpenSSL
OpenSSLAdapter::OnCloseEvent(
OpenSSLAdapter::Error(
OpenSSLAdapter::OnConnectEvent
Failed to create OpenSSLCertificate from PEM string.
OpenSSLStreamAdapter::Error(
OpenSSLStreamAdapter::OnEvent SE_OPEN
OpenSSLStreamAdapter::OnEvent
OpenSSLStreamAdapter::OnEvent(SE_CLOSE,
OpenSSLStreamAdapter::Read(
OpenSSLStreamAdapter::Write(
OpenSSL CMAC method
%s(%d): OpenSSL internal error, assertion failed: %s
OpenSSL PKCS#3 DH method
OpenSSL DH Method
OpenSSL DSA method
OpenSSL EC algorithm
OpenSSL ECDH method
OpenSSL ECDSA method
OpenSSL HMAC method
You need to read the OpenSSL FAQ, http://www.openssl.org/support/faq.html
OpenSSL RSA method
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL default user interface
OpenSSLAdapter::OnCloseEvent(
OpenSSLAdapter::Error(
OpenSSLAdapter::OnConnectEvent
Failed to create OpenSSLCertificate from PEM string.
OpenSSLStreamAdapter::Error(
OpenSSLStreamAdapter::OnEvent SE_OPEN
OpenSSLStreamAdapter::OnEvent
OpenSSLStreamAdapter::OnEvent(SE_CLOSE,
OpenSSLStreamAdapter::Read(
OpenSSLStreamAdapter::Write(
OpenSSL CMAC method
%s(%d): OpenSSL internal error, assertion failed: %s
OpenSSL PKCS#3 DH method
OpenSSL DH Method
OpenSSL DSA method
OpenSSL EC algorithm
OpenSSL ECDH method
OpenSSL ECDSA method
OpenSSL HMAC method
You need to read the OpenSSL FAQ, http://www.openssl.org/support/faq.html
OpenSSL RSA method
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL default user interface
从上面的日志,我得到的是我目前的apk,OpenTok是使用OpenSSL的OpenSSL 1.0.1e确认。
因此,我有更新OpenTok库附带了最新版本的opentok-android-sdk-2.5.0 。 整合后/更新到新的图书馆,我执行下面的命令:
$ unzip -p YourApp.apk | strings | grep "OpenSSL"
下面是与更新OpenTok库中的APK日志:
"OpenSSL"
GmsCore_OpenSSL
OpenSSL EC algorithm
OpenSSL HMAC method
OpenSSL RSA method
OpenSSLAdapter::Error(
OpenSSLAdapter::OnCloseEvent(
OpenSSLAdapter::OnConnectEvent
Failed to create OpenSSLCertificate from PEM string.
OpenSSLStreamAdapter::Error(
OpenSSLStreamAdapter::Write(
OpenSSLStreamAdapter::Read(
OpenSSLStreamAdapter::OnEvent SE_OPEN
OpenSSLStreamAdapter::OnEvent
OpenSSLStreamAdapter::OnEvent(SE_CLOSE,
OpenSSL EC algorithm
OpenSSL HMAC method
OpenSSL RSA method
OpenSSLAdapter::Error(
OpenSSLAdapter::OnCloseEvent(
OpenSSLAdapter::OnConnectEvent
Failed to create OpenSSLCertificate from PEM string.
OpenSSLStreamAdapter::Error(
OpenSSLStreamAdapter::Write(
OpenSSLStreamAdapter::Read(
OpenSSLStreamAdapter::OnEvent SE_OPEN
OpenSSLStreamAdapter::OnEvent
OpenSSLStreamAdapter::OnEvent(SE_CLOSE,
在这里,我们没有看到在获得日志的OpenSSL的任何版本。
所以我的问题是:
- 这是否意味着现在,如果我更新了谷歌Play商店这一新的APK,应用程序是否可以接受?
- 有没有一种方法来检查,如果我的OpenSSL的版本仍然是脆弱的(如从谷歌播放邮件提到的)问题是什么?
- 有没有在我的APK正在使用的方式来获得的OpenSSL版本(虽然,$解压-p YourApp.apk |串| grep的“OpenSSL的”,无法列出的OpenSSL版本)
注意:
我曾经使用过此了谷歌播放和OpenSSL警告信息后,所有提供的解决方案有,但我不能够得到OpenSSL的版本。
这方面的消息应是很有益的。 提前致谢。
