Digi- ja väestötietoviraston ylläpitämässä suomifi-passport-saml -kirjastossa havaittiin vakava tietoturvahaavoittuvuus perjantaina 14.10. noin klo 14.30. Haavoittuvuus korjattiin perjantaina klo 19.30.
Haavoittuvuus kohdistui niiden organisaatioiden asiointipalveluihin, jotka käyttävät Suomi.fi-tunnistukseen siirtymisessä ko. suomifi-passport-saml -kirjastoa.
Korjaa haavoittuvuus heti, jos käytätte Suomi.fi-tunnistukseen siirtymisessä suomifi-passport-saml -kirjastoa
Digi- ja väestötietovirasto kehottaa päivittämään suomifi-passport-saml -kirjastossa olevan xmldom-kirjaston versioon 1.3.3-sfi.9 välittömästi.
Pidemmällä aikavälillä on suositeltavaa harkita siirtymistä korvaaviin XML-kirjastoihin, sillä xmldom-kirjaston ylläpitäjät suunnittelevat tiettyjen tietoturvatakeiden poistamista omasta toteutuksestaan lähikuukausina niiden vaikean ylläpidettävyyden takia.
Pahoittelemme aiheutunutta haittaa.
Lisätietoa:
Kirjaston uusin versio:
NPM: https://www.npmjs.com/package/suomifi-passport-saml/v/1.3.3-sfi.9
Github: https://github.com/vrk-kpa/suomifi-passport-saml/releases/tag/v1.3.3-sfi.9
GitHub security advisory:
https://github.com/node-saml/passport-saml/security/advisories/GHSA-m974-647v-whv7
Digi- ja väestötietovirasto, palvelupiste[@]dvv.fi
Päivitetty 17.10. klo 13.30
Päivitetty 14.10.2022 klo 13.36:
- xmldom-kirjaston versio on 1.3.3-sfi.9
- päivitetty kirjaston linkkejä
