Kiireellinen tietoturvapäivitys

[CodoDerDritte]

Useat tietoturvayritykset varoittivat Tiistaina 25.6. polyfill.io JavaScript ohjelmakirjaston tietoturvaongelmista. Kirjaston avulla vanhentuneet selaimet on ollut mahdollista saada tukemaan toiminnallisuutta, joka uusissa selaimissa on sisäänrakennettuna.

Polyfill.io hiljattain siirtynyt kiinalaisomistukseen ja on ollut omistajanvaihdoksen vuoksi kriittisessä seurannassa jo jonkin aikaa. Eilisen raportin mukaan kiinalaisyritys on nyt ryhtynyt upottamaan kirjastoon omaa haittakoodiaan.

Tämä niin sanottu toimitusketjuhyökkäys (supply chain attack) on voinut esimerkiksi ohjata käyttäjän tämän tietämättä haittasivustoille tai jopa varastaa tietoja käyttäjän käyttämästä järjestelmästä, eli meidän tapauksessamme Kohasta. Koodi ajetaan tässä tapauksessa käyttäjän selaimella, ei Koha-palvelimilla.

Koha-Suomessa polyfill.io:ta on käytetty OKM raporttipluginissa. Polyfill.io -koodi on Koha-Suomessa poistettu käytöstä keskiviikkona 26.6. klo 8.20.

Tyhjentäkää viipymättä selaimen välimuisti, sivuhistoria, local storage ja evästeet jos olette käyttäneet OKM raporttipluginia! Suosittelemme vahvasti myös Koha-tunnuksen salasanan vaihtamista.

Firefox-selaimessa välimuistin, evästeet ja sivuhistorian voi tyhjentää seuraavasti:

1. Valitse hampurilaisvalikosta kohta "Sivuhistoria" (History).
2. Valitse "Poista viimeaikaisia historiatietoja". (Clear recent history).
3. Valitse "Poistettava aika" (Time range to clear) kohdasta "Kaikki" (Everything).
4. Tarkista että kaikissa ruuduissa on ruksi.
5. Paina "Poista tiedot".(Clear now).

Local storagen tyhjennys vaatii vielä lisäksi:

1. Valitse hampurilaisvalikosta kohta "Asetukset" (Settings).
2. Siirry kohtaan "Tietosuoja ja turvallisuus" (Privacy & Security).
3. Valitse kohdan "Evästeet ja sivustotiedot" (Cookies and site data) alta "Tyhjennä tiedot" (Clear data).
4. Valitse aukeavasta ikkunasta kaikki kohdat tai tarkista että ne on valittuna.
5. Paina "Tyhjennä tiedot" (Clear).