U biblioteci koju koristi alat SimpleSAMLphp otkriven je ozbiljan sigurnosni propust koji može dovesti do kompromitacije aplikacije koja koristi navedeni alat.
Propust se odnosi na biblioteku robrichards/xmlseclibs, a opisan je na https://github.com/robrichards/xmlseclibs/security/advisories/GHSA-c4cc-x928-vjw9.
S obzirom na ozbiljnost navedenog propusta, ako koristite alat SimpleSAMLphp, što prije i bez odlaganja nadogradite svoju instalaciju alata SimpleSAMLphp. Ako koristite SimpleSAMLphp instaliran iz instalacijskog paketa s repozitorija Srca prilagođen sustavu AAI@EduHr (simplesamlphp-aai) dovoljno je pokrenuti nadogradnju paketa na standardan način. Ako ste SimpleSAMLphp instalirali iz arhive preuzete s web-sjedišta sustava AAI@EduHr, ispravljenu verziju SimpleSAMLphp alata prilagođenu radu sa sustavom AAI@EduHr možete preuzeti s adrese: https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781263/SAML+u+PHP+aplikacijama
Podsjećamo, prije instalacije nove inačice ne zaboravite napraviti sigurnosnu kopiju stare zbog eventualnih promjena koje ste uradili u odnosu na instaliranu verziju.
Kako provjeriti je li neka instalacija SimpleSAMLphp-a ugrožena propustom?
Ranjive su sve inačice robrichards/xmlseclibs biblioteke niže od v3.1.4. Najlakši način za provjeriti je li vaša instalacija ranjiva je korištenjem Composera:
Prijavite se na poslužitelj, pozicionirajte se u direktorij s instalacijom SimpleSAMLphp-a:
cd /path/to/simplesamlphp
i pokrenite naredbu:
composer show robrichards/xmlseclibs
Ako je verzija biblioteke v3.1.4 ili viša, vaša instalacija nije ranjiva. U suprotnom, svakako nadogradite svoj SimpleSAMLphp.
Što ako koristite stariju inačicu SimpleSAMLphp-a za koju nema ispravljenih instalacija?
Naša preporuka je ako je ikako moguće nadograditi inačicu SImpleSAMLphp-a na neku podržanu. Ako iz objektivnog načina to ne možete učiniti, ovu ranjivost možete riješiti na način da ručno ažurirate ranjivi paket:
Prijavite se na poslužitelj, pozicionirajte se u direktorij s instalacijom SimpleSAMLphp-a:
cd /path/to/simplesamlphp
Pokrenite naredbe za ažuriranje paketa:
composer require robrichards/xmlseclibs:^3.1.4 --no-install
composer install --no-dev
Provjerite verziju instaliranog paketa:
composer show robrichards/xmlseclibs
Alternativno, potrebno je ručno ažurirati kod u biblioteci po uzoru commit https://github.com/robrichards/xmlseclibs/compare/3.1.3...3.1.4
Napomena: SimpleSAMLphp v1.19.* službeno je napušten od strane tima održavatelja tog alata, no zbog velikog broja korisnika u sustavu AAI@EduHr koji nisu mogli prijeći na noviju verziju PHPa na svojim poslužiteljima, tim AAI@EduHr je i ovaj put kroz svoj sustav Debian paketa i na poveznici https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781263/SAML+u+PHP+aplikacijama objavio novu verziju 1.19.* koja sadrži spomenutu sigurnosnu ispravku. Ispravka je napravljena ručno, direktno u relevantnoj datoteci biblioteke robrichards/xmlseclibs. Ako i dalje koristite 1.19.*, potrebno je žurno planirati nadogradnju na noviju verziju. Tim AAI@EduHr više ne planira donositi nove zakrpe na verzijama 1.19.* SimpleSAMLphp-a.