Apache Cordova Android 6.1.2 发布
2017年1月27日
在 cordova-android 中发现了一个安全问题。我们正在发布 [email protected] 来解决此安全问题。我们建议所有使用 cordova-android 构建的 Android 应用程序都升级到 6.1.2 版本。其他 Cordova 平台(如 iOS)不受影响,无需更新。
使用 Cordova CLI 时,请使用以下命令更新
cordova platform update [email protected]
安全问题是 CVE-2017-3160
为了您的方便,此 CVE 的文本包含在此处。
CVE-2017-3160:Cordova-Android 使用的 Gradle 分发 URL 默认不使用 https
严重性:高
供应商:The Apache Software Foundation
受影响的版本:Cordova Android(6.1.1 及更低版本)
描述:首次将 Android 平台添加到 Cordova 后,或者在使用构建脚本创建项目后,脚本将在首次构建时获取 Gradle。但是,由于默认 URI 不使用 https,因此它容易受到中间人攻击,并且 Gradle 可执行文件是不安全的。此问题的严重性很高,因为构建脚本在获取 Gradle 后会立即开始构建。
升级路径: 担心此问题的开发人员应安装 6.1.2 或更高版本的 Cordova-Android。
缓解步骤:如果开发人员无法安装最新版本,则可以通过将 CORDOVA_ANDROID_GRADLE_DISTRIBUTION_URL 环境变量设置为 https://services.gradle.org/distributions/gradle-2.14.1-all.zip 来轻松缓解此漏洞
致谢:Alon Galili