Hyppää sisältöön

Suomi.fi-tunnistus: Suomifi-passport-saml -kirjaston haavoittuvuus on korjattu

Julkaisuajankohta 14.10.2022 11.50

Digi- ja väestötietoviraston ylläpitämässä suomifi-passport-saml -kirjastossa havaittiin vakava tietoturvahaavoittuvuus perjantaina 14.10. noin klo 14.30. Haavoittuvuus korjattiin perjantaina klo 19.30.

Haavoittuvuus kohdistui niiden organisaatioiden asiointipalveluihin, jotka käyttävät Suomi.fi-tunnistukseen siirtymisessä ko. suomifi-passport-saml -kirjastoa.

Korjaa haavoittuvuus heti, jos käytätte Suomi.fi-tunnistukseen siirtymisessä suomifi-passport-saml -kirjastoa

Digi- ja väestötietovirasto kehottaa päivittämään suomifi-passport-saml -kirjastossa olevan xmldom-kirjaston versioon 1.3.3-sfi.9  välittömästi.

Pidemmällä aikavälillä on suositeltavaa harkita siirtymistä korvaaviin XML-kirjastoihin, sillä xmldom-kirjaston ylläpitäjät suunnittelevat tiettyjen tietoturvatakeiden poistamista omasta toteutuksestaan lähikuukausina niiden vaikean ylläpidettävyyden takia.

Pahoittelemme aiheutunutta haittaa. 

Lisätietoa:

Kirjaston uusin versio:
NPM: https://www.npmjs.com/package/suomifi-passport-saml/v/1.3.3-sfi.9
Github: https://github.com/vrk-kpa/suomifi-passport-saml/releases/tag/v1.3.3-sfi.9
GitHub security advisory:
https://github.com/node-saml/passport-saml/security/advisories/GHSA-m974-647v-whv7

 

Digi- ja väestötietovirasto, palvelupiste[@]dvv.fi  
 


Päivitetty 17.10. klo 13.30

  • Haavoittuvuus korjattu

Päivitetty 14.10.2022 klo 13.36:

  • xmldom-kirjaston versio on 1.3.3-sfi.9 
  • päivitetty kirjaston linkkejä
Häiriötiedote - etusivun nosto Häiriötiedote vain organisaatio-etusivulle