Na última semana, a Superintendência de Informática recebeu da Universidade Federal do Sergipe - UFS notificação referente a uma vulnerabilidade encontrada pela Instituição em uma das funcionalidades do Portal Público do SIGAA. Em análises realizadas após a notificação, colaboradores da SINFO concluíram que a vulnerabilidade, que permite a exploração de ataques do tipo "SQL Injection", pode ser facilmente corrigida com o uso adequado das APIs e/ou frameworks utilizados na camada de acesso aos dados da arquitetura dos sistemas SIG/UFRN.
Como sugestão para corrigir a vulnerabilidade em questão, a UFS desenvolveu um "patch", ou uma solução destinada a reparar a insegurança, que foi enviada para a SINFO e posteriormente repassada por e-mail para os gestores das instituições que utilizam os sistemas, em um arquivo denominado "changeset_r100034.diff". O código informado no arquivo deve ser utilizado o mais breve possível para substituir o código atual.
Em adição ao uso do "patch" desenvolvido pela UFS e levando em conta o tamanho dos sistemas SIG/UFRN, além da presença da vulnerabilidade, a Superintendência optou por disponibilizar um artefato ("jar" java) que, em conjunto com configurações realizadas, efetuará uma filtragem de todas as requisições feitas ao sistemas, evitando, assim, que conteúdos suspeitos possam ser tratados como legítimos. As configurações indicadas, que são aplicáveis tanto ao JBoss 5.1.0 quanto ao JBoss 4.2.2, podem ser encontradas em detalhes no link: https://www.info.ufrn.br/wikisistemas/doku.php?id=cooperacao:sqlfilter. Para utilizar o artefato, não é necessário realizar a atualização de versão dos sistemas.
Levando em conta a criticidade do fato e as possíveis consequências, a Diretoria da SINFO recomenda que os procedimentos para contenção da vulnerabilidade e para filtragem das requisições sejam realizados em caráter de urgência - caso não seja possível pôr ambos em prática, a indicação é priorizar a aplicação do patch. Em breve serão disponibilizadas novas versões dos sistemas e do artefato ("jar" java) com os aprimoramentos e serviços para prevenir casos semelhantes.