Apache Cordova Android 6.1.2 發布
2017 年 1 月 27 日
在 cordova-android 中發現了一個安全漏洞。我們正在發布 cordova-android@6.1.2 以解決這個安全問題。我們建議所有使用 cordova-android 構建的 Android 應用程式都應升級到 6.1.2 版本。其他 Cordova 平台(如 iOS)不受影響,無需更新。
當使用 Cordova CLI 時,請使用以下命令進行更新
cordova platform update android@6.1.2
此安全問題為 CVE-2017-3160
為了您的方便,此 CVE 的文字內容包含在此處。
CVE-2017-3160:Cordova-Android 使用的 Gradle 發行 URL 預設不使用 https
嚴重性:高
供應商:The Apache Software Foundation
受影響版本:Cordova Android (6.1.1 及更低版本)
描述:首次將 Android 平台添加到 Cordova 後,或使用建置腳本創建專案後,腳本將在第一次建置時獲取 Gradle。但是,由於預設 URI 沒有使用 https,因此容易受到中間人攻擊,並且 Gradle 可執行檔是不安全的。此問題的嚴重性很高,因為在獲取 Gradle 後,建置腳本會立即開始建置。
升級路徑:擔心此問題的開發人員應安裝 6.1.2 或更高版本的 Cordova-Android。
緩解步驟:如果開發人員無法安裝最新版本,則可以透過將 CORDOVA_ANDROID_GRADLE_DISTRIBUTION_URL 環境變數設定為 https://services.gradle.org/distributions/gradle-2.14.1-all.zip 來輕鬆緩解此漏洞。
致謝:Alon Galili