تنبيه الأمان
| الخطورة: | حرج |
| التصنيف: | الاعداد |
| المشاريع المتضررة: | التكوين ، منصة edx |
| مراسل: | EDX |
| URL الدائم: | https://openedx.org/CVE-2015-2186 |
في 6 آذار (مارس) 2015 ، اكتشفنا خطأ في Ansible وعالجناه com.edxapp يمكن أن يسمح لمواقع الويب المختلفة بانتحال شخصية حسابات edX (على الرغم من أننا لسنا على علم بحدوث أي نشاط من هذا القبيل). تم تقديم الخطأ في 25 فبراير 2015. إذا كنت تستخدم Ansible للحفاظ على عمليات نشر النظام الأساسي edx وقمت بتشغيل Ansible منذ 25 فبراير 2015 ، فإننا نوصي بشدة بالتحديث إلى أحدث إصدار من التكوين وإعادة تشغيل كتيبات التشغيل لتطبيق الإصلاح. لاحظ أن هذه الثغرة الأمنية لم تكن موجودة في أي من إصدارات Aspen أو Birch المسماة من edX.
نقاط الضعف والتعرض الشائعة (CVE) قام المشروع بتعيين الاسم CVE-2015-2186 لهذه القضية. هذا هو الدخول على CVE قائمة (http://CVE.mitre.org) ، الذي يوحد الأسماء لمشاكل الأمان.
مزيد من المعلومات
تسبب الخطأ في CORS_ORIGIN_ALLOW_ALL الإعداد ليتم تعيينه على سلسلة كانت قيمتها "False" بدلاً من Boolean False. تم تقييم العلامة إلى True المنطقية ، مما يتسبب في قبول الموقع لطلبات عبر المواقع من أي موقع ويب. لقد قمنا بتغيير القيمة الافتراضية وقمنا بتحديث جميع بيئاتنا.
تم إدخال الخطأ في طلب سحب 1869.
تم إصلاح الخلل في طلب سحب 1885.
