Apache Cordova 的 Mobilefirst 漏洞版本
Mobilefirst Vulnerable version of Apache Cordova
我刚收到一封来自 Google 的关于我的 MobileFirst 6.3 应用程序的邮件:请尽快将您的应用程序迁移到 Apache Cordova v.4.1.1 或更高版本。
我的应用程序在 MobileFirst 7.1 上有一个新版本,但这个新版本在 Cordova v 3.7.0 上只有 运行。
哪个版本的 MobileFirst 将基于 v4.1.1?如果它还没有发布,我们什么时候可以期待它?您建议的方法是什么,在我们仍然可以的时候快速发布基于 cordova 3.7.0 的应用程序,或者等待 cordova 4.1.1 包含在 MobileFirst 中?
根据要求:以下页面包含有关漏洞的更多详细信息:
https://support.google.com/faqs/answer/6325474
Cordova 4.1.1 未提供 Worklight/MobileFirst 版本。
然而,
IBM 补丁 Worklight/MobileFirst 中发布的 Cordova 版本,修复了已发现的漏洞。
对于 Google 的这一特定公告,请参见此处:https://mobilefirstplatform.ibmcloud.com/blog/2016/02/16/ibm-mobilefirst-platform-foundation-responds-to-google-play-store-announcement-of-blocking-apps-using-vulnerable-cordova-versions/
总的来说:
确保您使用的是最新的 Worklight/MobileFirst iFix 并重新构建应用程序以使用修补的 Cordova。
有关详细信息,请参阅下文:
- https://mobilefirstplatform.ibmcloud.com/blog/2016/02/24/cve-2015-5256-apache-cordova-vulnerable-to-improper-application-of-whitelist-restrictions-on-android/
- https://developer.ibm.com/mobilefirstplatform/2015/12/11/cve-2015-5257cve-2015-8320-weak-randomization-of-bridgesecret-for-apache-cordova-android/
- https://developer.ibm.com/mobilefirstplatform/2015/07/30/cve-2015-1835-remote-exploit-in-apache-cordova/
- https://developer.ibm.com/mobilefirstplatform/2015/10/08/cve-2015-5204-http-header-injection-vulnerability-in-apache-cordova-android-file-transfer-plugin/
我刚收到一封来自 Google 的关于我的 MobileFirst 6.3 应用程序的邮件:请尽快将您的应用程序迁移到 Apache Cordova v.4.1.1 或更高版本。
我的应用程序在 MobileFirst 7.1 上有一个新版本,但这个新版本在 Cordova v 3.7.0 上只有 运行。
哪个版本的 MobileFirst 将基于 v4.1.1?如果它还没有发布,我们什么时候可以期待它?您建议的方法是什么,在我们仍然可以的时候快速发布基于 cordova 3.7.0 的应用程序,或者等待 cordova 4.1.1 包含在 MobileFirst 中?
根据要求:以下页面包含有关漏洞的更多详细信息: https://support.google.com/faqs/answer/6325474
Cordova 4.1.1 未提供 Worklight/MobileFirst 版本。
然而,
IBM 补丁 Worklight/MobileFirst 中发布的 Cordova 版本,修复了已发现的漏洞。
对于 Google 的这一特定公告,请参见此处:https://mobilefirstplatform.ibmcloud.com/blog/2016/02/16/ibm-mobilefirst-platform-foundation-responds-to-google-play-store-announcement-of-blocking-apps-using-vulnerable-cordova-versions/
总的来说:
确保您使用的是最新的 Worklight/MobileFirst iFix 并重新构建应用程序以使用修补的 Cordova。
有关详细信息,请参阅下文:
- https://mobilefirstplatform.ibmcloud.com/blog/2016/02/24/cve-2015-5256-apache-cordova-vulnerable-to-improper-application-of-whitelist-restrictions-on-android/
- https://developer.ibm.com/mobilefirstplatform/2015/12/11/cve-2015-5257cve-2015-8320-weak-randomization-of-bridgesecret-for-apache-cordova-android/
- https://developer.ibm.com/mobilefirstplatform/2015/07/30/cve-2015-1835-remote-exploit-in-apache-cordova/
- https://developer.ibm.com/mobilefirstplatform/2015/10/08/cve-2015-5204-http-header-injection-vulnerability-in-apache-cordova-android-file-transfer-plugin/