Twilio Android SDK OpenSSLの脆弱性

Question

私はTwilio Android SDKの最新バージョンを商用アプリケーションで使用しています（特権としてTwilioに支払っています）。 https://support.google.com/faqs/answer/6376725に基づいて、Google Playストアでは、 'Logjam'の脆弱性の結果、2016年7月11日までにGoogleストアのアプリのアップデートを停止できます。これは、Twilioの最新バージョンにはOpenSSL 1.0.1kがバンドルされているためです。セキュリティの脆弱性は1.01r（または1.02f）でのみ削除されます。

この問題に関してTwilioのサポートにメッセージを送信しましたが、応答時間についてはわかりません。他の誰かが問題を抱えていますか？ TwilioがバンドルされたOpenSSLのバージョンを更新する傾向があることを誰かが知っていますか？または、彼らがすぐに1.01rにアップデートする計画を持っている場合は、すぐに？あるいは、「Talk to Support」ページでどのくらいの頻度で問い合わせに返答する傾向がありますか？

Answer 1

Twilioが今すぐ返答しました（迅速な返信に感銘しました）。彼らが言ったことは次のとおりです。

ありがとうございます。これは本当に有効な懸案事項です。

私達はちょうどから をダウンロードすることができ、Androidのクライアントバージョン1.2.11をリリースしている：私たちのウェブサイト上の変更ログは、一両日中に更新されます

http://media.twiliocdn.com/sdk/android/client/latest/twilio-client-android.tar.bz2

。 したがって、私はあなたのレビューのリリースノートを取り上げています。

リリースノート：TwilioクライアントSDKのAndroid 1.2.11用

1.2.11（4月14日、2016）

CLIENT-2103 - OpenSSLは1.0.1sにアップグレードされました。このバージョン は、Google Play ストアのサイト運営者に最近表示された警告を満たしています。
CLIENT-2321 - MIPSアーキテクチャのサポートは、 が削除されました。
CLIENT-2338 - targetSDKVersion 23 以上のアプリケーションでは、 ユーザーが実行時マイクのアクセス許可を与えていないと、SDKは初期化に失敗し（エラーログに記録されます）。

修正点CLIENT-2027 - テキスト再配置による Android 6 on x86デバイス/エミュレータの実行中にUnsatisfiedLinkErrorを解決しました。
CLIENT-2104 - が古いデバイスでTwilioライブラリを読み込もうとしたときに発生する散発的UnsatisfiedLinkErrorを修正しました。
CLIENT-2367 - PresenceEventサーバーが切断されると、SDKはDevice.OnStopListeningイベント を起動しなくなりました。
CLIENT-2325- Twilio.getVersion（）はMajor.Minor.Patchだけを返すようになりました。

他の人に同じ問題が発生する可能性があります。