U biblioteci koju koristi alat SimpleSAMLphp otkriven je ozbiljan sigurnosni propust koji može dovesti do kompromitacije aplikacije koja koristi navedeni alat.
S obzirom na ozbiljnost navedenog propusta, ako koristite alat SimpleSAMLphp, što prije i bez odlaganja nadogradite svoju instalaciju alata SimpleSAMLphp.
Ako koristite SimpleSAMLphp instaliran iz instalacijskog paketa s repozitorija Srca prilagođen sustavu AAI@EduHr (simplesamlphp-aai) dovoljno je pokrenuti nadogradnju
paketa na standardan način. Ako ste SimpleSAMLphp instalirali iz arhive preuzete s web-sjedišta sustava AAI@EduHr, ispravljenu verziju SimpleSAMLphp alata prilagođenu
radu sa sustavom AAI@EduHr možete preuzeti s adrese: https://www.aaiedu.hr/za-davatelje-usluga/za-web-aplikacije/kako-implementirati-autentikaciju-u-php-aplikacijama
Podsjećamo, prije instalacije nove inačice ne zaboravite napraviti sigurnosnu kopiju stare zbog eventualnih promjena koje ste uradili u odnosu na instaliranu verziju.
Kako provjeriti je li neka instalacija SimpleSAMLphp-a ugrožena propustom?
Propust se odnosi na biblioteku SAML2 i ranjive su sve inačice te biblioteke niže od v4.17. Najlakši način za provjeriti je li vaša instalacija ranjiva je korištenjem Composera:
Prijavite se na poslužitelj, pozicionirajte se u direktorij s instalacijom SimpleSAMLphp-a:
# cd /path/to/simplesamlphp
i pokrenite naredbu:
# composer show simplesamlphp/saml2
Ako je verzija SAML2 php librarya v4.17 ili viša, vaša instalacija nije ranjiva. U suprotnom, svakako nadogradite svoj SimpleSAMLphp
Što ako koristite stariju inačicu SimpleSAMLphp-a za koju nema ispravljenih instalacija?
Naša preporuka je ako je ikako moguće nadograditi inačicu SImpleSAMLphp-a na neku podržanu. Ako iz objektivnog načina to ne možete učiniti, ovu ranjivost možete
riješiti na način da ručno ažurirate ranjivi paket:
Prijavite se na poslužitelj, pozicionirajte se u direktorij s instalacijom SimpleSAMLphp-a:
# cd /path/to/simplesamlphp
Pokrenite naredbe za ažuriranje paketa:
# composer require simplesamlphp/saml2:^4.17 --no-install
# composer install --no-dev
Provjerite verziju instaliranog paketa:
# composer show simplesamlphp/saml2