čet, 5.12.2024. - 16:46
U biblioteci koju koristi alat SimpleSAMLphp otkriven je ozbiljan sigurnosni propust koji može dovesti do kompromitacije aplikacije koja koristi navedeni alat.
Propust je opisan na adresi:
https://github.com/simplesamlphp/simplesamlphp/security/advisories/GHSA-j5g2-q29x-cw3h (link is external)
S obzirom na ozbiljnost navedenog propusta, ako koristite alat SimpleSAMLphp, što prije i bez odlaganja nadogradite svoju instalaciju alata SimpleSAMLphp. Ako koristite SimpleSAMLphp instaliran iz instalacijskog paketa s repozitorija Srca prilagođen sustavu AAI@EduHr (simplesamlphp-aai) dovoljno je pokrenuti nadogradnju paketa na standardan način. Ako ste SimpleSAMLphp instalirali iz arhive preuzete s web sjedišta sustava AAI@EduHr, ispravljenu verziju SimpleSAMLphp alata prilagođenu radu sa sustavom AAI@EduHr možete preuzeti s adrese: https://www.aaiedu.hr/za-davatelje-usluga/za-web-aplikacije/kako-implementirati-autentikaciju-u-php-aplikacijama wiki.srce.hr/spaces/AAIUPUTE/pages/66781263/SAML+u+PHP+aplikacijama https://wiki.srce.hr/spaces/AAIUPUTE/pages/66781263/SAML+u+PHP+aplikacijama
Podsjećamo, prije instalacije nove inačice ne zaboravite napraviti sigurnosnu kopiju stare zbog eventualnih promjena koje ste uradili u odnosu na instaliranu verziju.
...
Na datoteku vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php primjenite patch opisan na adresi: https://github.com/simplesamlphp/saml2/compare/v4.6.13..v4.16.14(link is external)
Provjerite je li nakon primjene patcha ispravna sintaksa datoteke vendor/simplesamlphp/saml2/src/SAML2/DOMDocumentFactory.php naredbom:
...