Security Alert
| Severity: | Hoch |
| Kategorien: | CSRF |
| Betroffene Projekte: | edx-Plattform |
| Reporter: | Selbst berichtet |
| Permanente URL: |
Bei einer Überprüfung des edX-Plattformcodes wurden einige HTTP-GET-Anforderungen mit Nebeneffekten entdeckt. Solche Anfragen sind im Allgemeinen unerwünscht und erzwingen keinen Schutz vor Cross Site Request Forgery (CSRF). In einem bestimmten Fall könnten Benutzer ihre Berechtigungen möglicherweise durch einen Angriff auf Mitarbeiter oder Superuser eskalieren.
Mehr Informationen
Dieser Patch behebt ein Problem, bei dem ein böswilliger Benutzer einen Kursleiter dazu verleiten könnte, eine Seite anzuzeigen, die dem böswilligen Benutzer wiederum zusätzliche Berechtigungen gewähren könnte.
Obwohl die Plattform bereits den Middleware-Schutz Cross-Site Request Forgery (CSRF) von Django verwendet, wurde festgestellt, dass einige Endpunkte mit Nebenwirkungen GET-Methoden verwenden. Der Patch zwingt diese Endpunkte dazu, POST zu erfordern, wodurch auch der CSRF-Schutz ordnungsgemäß aktiviert wird.
Weitere Informationen finden Sie unter:
- https://docs.djangoproject.com/en/1.9/ref/csrf/
Wir empfehlen Ihnen dringend, Ihre Instanzen so schnell wie möglich zu patchen.
Patch für die Fährtenleser genau:
https://github.com/edx/edx-platform/commit/d54f79f5bf3e1af17063937df1abc…
Patch für Named-Release-Hartriegel:
https://github.com/edx/edx-platform/commit/d929c1cd8ca11d801a03232f200c9…
