Security Alert
| Severity: | Kritische |
| Kategorien: | Konfiguration |
| Betroffene Projekte: | Konfiguration, edx-Plattform |
| Reporter: | EDX |
| Permanente URL: | https://openedx.org/CVE-2015-2186 |
Am 6. März 2015 haben wir einen Fehler in Ansible entdeckt und behoben edxapp Rolle, die es verschiedenen Websites ermöglichen könnte, sich als edX-Konten auszugeben (obwohl uns nicht bekannt ist, dass eine solche Aktivität stattgefunden hat). Der Fehler wurde am 25. Februar 2015 eingeführt. Wenn Sie Ansible verwenden, um Bereitstellungen von edx-platform zu verwalten, und Ansible seit dem 25. Februar 2015 ausführen, empfehlen wir dringend, dass Sie auf die neueste Version der Konfiguration aktualisieren und Ihre Playbooks erneut ausführen, um den Fix anzuwenden. Beachten Sie, dass diese Schwachstelle weder in den Versionen von edX mit dem Namen Aspen noch in Birch vorhanden war.
Die allgemeinen Schwachstellen und Gefährdungen (CVE) Projekt hat den Namen vergeben CVE-2015-2186 zu dieser Ausgabe. Dies ist ein Eintrag auf der CVE aufführen (http://cve.mitre.org), das Namen für Sicherheitsprobleme standardisiert.
Mehr Informationen
Der Fehler verursachte die CORS_ORIGIN_ALLOW_ALL Einstellung auf eine Zeichenfolge gesetzt werden, deren Wert „False“ anstelle eines booleschen False war. Das Flag wird mit dem booleschen Wert „Wahr“ ausgewertet, was dazu führt, dass die Website standortübergreifende Anforderungen von allen Websites akzeptiert. Wir haben den Standardwert geändert und alle unsere Umgebungen aktualisiert.
Der Fehler wurde in eingeführt Pull-Request 1869.
Der Fehler wurde in behoben Pull-Request 1885.
