Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

VAŽNO: Sigurnosni propust u alatu SimpleSAMLphp

čet, 5.12.2024. - 16:46

U biblioteci koju koristi alat SimpleSAMLphp otkriven je ozbiljan sigurnosni propust koji može dovesti do kompromitacije aplikacije koja koristi navedeni alat.

Propust je opisan na adresi: 
https://github.com/simplesamlphp/simplesamlphp/security/advisories/GHSA-j5g2-q29x-cw3h 

S obzirom na ozbiljnost navedenog propusta, ako koristite alat SimpleSAMLphp, što prije i bez odlaganja nadogradite svoju instalaciju alata SimpleSAMLphp. Ako koristite SimpleSAMLphp instaliran iz instalacijskog paketa s repozitorija Srca prilagođen sustavu AAI@EduHr (simplesamlphp-aai) dovoljno je pokrenuti nadogradnju paketa na standardan način. Ako ste SimpleSAMLphp instalirali iz arhive preuzete s web sjedišta sustava AAI@EduHr, ispravljenu verziju SimpleSAMLphp alata prilagođenu radu sa sustavom AAI@EduHr možete preuzeti s adrese: https://www.aaiedu.hr/za-davatelje-usluga/za-web-aplikacije/kako-implementirati-autentikaciju-u-php-aplikacijama 

Podsjećamo, prije instalacije nove inačice ne zaboravite napraviti sigurnosnu kopiju stare zbog eventualnih promjena koje ste uradili u odnosu na instaliranu verziju.

Kako provjeriti je li neka instalacija SimpleSAMLphp-a ugrožena propustom?

Propust se odnosi na biblioteku SAML2 i ranjive su sve inačice te biblioteke niže od v4.16.14. Najlakši način za provjeriti je li vaša instalacija ranjiva je korištenjem composera:

Prijavite se na poslužitelj, pozicionirajte se u direktorij s instalacijom SimpleSAMLphp-a:

# cd /path/to/simplesamlphp

i pokrenite naredbu:

# composer show simplesamlphp/saml2

Ako je verzija SAML2 php librarya v4.16.14 ili viša, vaša instalacija nije ranjiva. U suprotnom, svakako nadogradite svoj SimpleSAMLphp

Što ako koristite stariju inačicu SimpleSAMLphp-a za koju nema ispravljenih instalacija?

Naša preporuka je ako je ikako moguće nadograditi inačicu SImpleSAMLphp-a na neku podržanu. Ako iz objektivnog načina to ne možete učiniti, ovu ranjivost možete riješiti na sljedeći način:

Prijavite se na poslužitelj, pozicionirajte se u direktorij s instalacijom SimpleSAMLphp-a:

# cd /path/to/simplesamlphp

Napravite sigurnosnu kopiju datoteke vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php

# cp vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php /neka/staza/za/backup

Na datoteku vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php primjenite patch opisan na adresi: https://github.com/simplesamlphp/saml2/compare/v4.6.13..v4.16.14

Provjerite je li nakon primjene patcha ispravna sintaksa datoteke vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php naredbom:

# php -l vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php