U biblioteci koju koristi alat SimpleSAMLphp otkriven je ozbiljan sigurnosni propust koji može dovesti do kompromitacije aplikacije koja koristi navedeni alat.
Propust je opisan na adresi:
https://github.com/simplesamlphp/simplesamlphp/security/advisories/GHSA-j5g2-q29x-cw3h
S obzirom na ozbiljnost navedenog propusta, ako koristite alat SimpleSAMLphp, što prije i bez odlaganja nadogradite svoju instalaciju alata SimpleSAMLphp. Ako koristite SimpleSAMLphp instaliran iz instalacijskog paketa s repozitorija Srca prilagođen sustavu AAI@EduHr (simplesamlphp-aai) dovoljno je pokrenuti nadogradnju paketa na standardan način. Ako ste SimpleSAMLphp instalirali iz arhive preuzete s web sjedišta sustava AAI@EduHr, ispravljenu verziju SimpleSAMLphp alata prilagođenu radu sa sustavom AAI@EduHr možete preuzeti s adrese: https://www.aaiedu.hr/za-davatelje-usluga/za-web-aplikacije/kako-implementirati-autentikaciju-u-php-aplikacijama
Podsjećamo, prije instalacije nove inačice ne zaboravite napraviti sigurnosnu kopiju stare zbog eventualnih promjena koje ste uradili u odnosu na instaliranu verziju.
Kako provjeriti je li neka instalacija SimpleSAMLphp-a ugrožena propustom?
Propust se odnosi na biblioteku SAML2 i ranjive su sve inačice te biblioteke niže od v4.16.14. Najlakši način za provjeriti je li vaša instalacija ranjiva je korištenjem composera:
Prijavite se na poslužitelj, pozicionirajte se u direktorij s instalacijom SimpleSAMLphp-a:
# cd /path/to/simplesamlphp
i pokrenite naredbu:
# composer show simplesamlphp/saml2
Ako je verzija SAML2 php librarya v4.16.14 ili viša, vaša instalacija nije ranjiva. U suprotnom, svakako nadogradite svoj SimpleSAMLphp
Što ako koristite stariju inačicu SimpleSAMLphp-a za koju nema ispravljenih instalacija?
Naša preporuka je ako je ikako moguće nadograditi inačicu SImpleSAMLphp-a na neku podržanu. Ako iz objektivnog načina to ne možete učiniti, ovu ranjivost možete riješiti na sljedeći način:
Prijavite se na poslužitelj, pozicionirajte se u direktorij s instalacijom SimpleSAMLphp-a:
# cd /path/to/simplesamlphp
Napravite sigurnosnu kopiju datoteke vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php
# cp vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php /neka/staza/za/backup
Na datoteku vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php primjenite patch opisan na adresi: https://github.com/simplesamlphp/saml2/compare/v4.6.13..v4.16.14
Provjerite je li nakon primjene patcha ispravna sintaksa datoteke vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php naredbom:
# php -l vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php