AgID, SPID e CIE: importante aggiornamento per i fornitori di servizi che utilizzano le librerie .NET

Innovazione 20 Febbraio 2025, di redazione

A causa di una vulnerabilità su una parte di codice sviluppato da terze parti occorre procedere al più presto al suo aggiornamento

Articoli correlati
Innovazione

Milano: la 2 giorni del Festival internazionale sull’Intelligenza Artificiale

Innovazione

Il comune di Comiso attiva uno sportello di facilitazione digitale

Innovazione

AgID, E-Procurement: rinnovo certificazione di componente di piattaforma

Innovazione

‘Punti Digitale Facile’, parte la campagna nazionale

Innovazione

Concessione di contributi al soggetto attuatore degli interventi per la realizzazione del Piano banda ultra larga nelle «aree bianche»

Con un comunicazione tecnica pubblicata sul proprio sito l’Agenzia per l’Italia Digitale informa che i siti internet e le app che permettono l’accesso ai servizi online con SPID o CIE utilizzando le librerie .NET per l’autenticazione devono procedere al più presto al loro aggiornamento. 

Recentemente, infatti, è stata individuata una vulnerabilità in queste librerie, sviluppate da terze parti nell’ambito di una challenge realizzata nel 2017. 

Le librerie .NET – si legge nella comunicazione – sono componenti software sviluppate per facilitare la creazione di applicazioni, fornendo numerose funzionalità pronte all’uso per la gestione di operazioni comuni come l’autenticazione, l’elaborazione dei dati e la comunicazione tra sistemi diversi. In questo caso, le librerie .NET per SPID e CIE consentono ai fornitori di servizi digitali di integrare facilmente il sistema di accesso ai propri siti web, senza dover scrivere il codice partendo da zero. 

Una volta scoperta la vulnerabilità, gli sviluppatori hanno aggiornato due librerie con nuove versioni sicure, mentre una terza libreria è stata definitivamente dismessa. Inoltre, AgID ha migliorato ulteriormente il sistema di verifica per i fornitori di servizi, introducendo due nuovi controlli nel Validator SAML SP per SPID (lo strumento utilizzato dai Service Provider nella fase di collaudo). 

L’Agenzia, infine, raccomanda ai Service Provider che utilizzano librerie .NET per l’autenticazione SPID o CIE di aggiornarle immediatamente con le versioni più recenti e di verificare con attenzione i controlli 112 e 113 durante il collaudo SPID.

Nessuna azione, invece, è richiesta per i Provider che non hanno implementato l’autenticazione a SPID o CIE utilizzando queste librerie. 

Ulteriori dettagli e informazioni sono disponibili nell’approfondimento del CERT-AgID.

Riferimenti alle librerie interessate: 

Fonte: AgID

ANCITEL

Anci Digitale S.p.A.
Società in house dell’Associazione Nazionale Comuni Italiani e di ACI Informatica