Remediation for Bad OpenSSL Versions

This information is intended for developers with app(s) that utilize a defective version of OpenSSL library directly or indirectly.

What’s happening

One or more of your apps contain a defective version of OpenSSL library, which can cause your app to crash, thus harming its usability. Even if your app doesn’t depend on the OpenSSL artifact directly, one of the 3rd-party libraries/SDKs in your app’s dependencies may do so.

Fixing this issue is highly recommended but not mandatory. The publication status of your app will be unaffected by the presence of this issue.

Additional details

The ARMv8.3 PAC functionality enables hardware-assisted control flow integrity (CFI) by authenticating pointers (specifically, the return addresses) at runtime. Older versions of OpenSSL use this functionality incorrectly, causing crashes at runtime. This issue was resolved in OpenSSL 1.1.1i. Versions between 1.1.1b and 1.1.1h are affected.

我查了2.4.9用的是 1.1.1g， 1.1.1b and 1.1.1h 都有问题的意思嘛？

遇到同样的问题了， 我是 3.4， openssl 也是 1.1.1g， 官方是不是版本到 3.5.2就是更高版本的openssl了。

https://github.com/cocos/cocos-engine-external/pull/300 2.x可以手动更新第三方库解决。

3.x需要同步更新websocket第三方库，
更新：3.x同样只需要替换掉第三方库中的内容即可。websocket的第三方库不需要更新。适用于所有3.x版本（包括3.4.2和3.5+）。https://github.com/cocos/cocos-engine-external/pull/304
该合并将会应用于3.6.2之后

3.5.2后正常的websocket功能不依赖openssl，但是websocket server功能仍有依赖，不过在游戏中开启websocket server并不常见。

我们自己手动去更新 websocket 三方库？ 3.52版本是不是更高的版本

可以等我们的后续更新。

3.4.3? 还是 3.6.2。 还是单独的 websocket库

已更新说明

这些文件都要替换吗？还是只替换andorid文件夹和version.txt?

只替换android即可

2.4.9之前的版本需要换吗

同样的问题

2.4.9版本 按照给出的解决方案替换后，再Android studio 上build失败

能给出完整的流程和文件覆盖路径吗。我是直接把2.4.9安装目录下的android 文件夹删掉，然后在https://github.com/cocos/cocos-engine-external/pull/300 下载android文件夹，并复制到刚才删掉的android文件夹所在位置，但是在Android studio上build失败

换了以后还是说版本有问题啊

http://docs.cocos.com/creator/2.4/manual/zh/advanced-topics/engine-customization.html?h=引擎定制

# 初始化仓库
gulp init
初始化了吗