Security Alert
| Severity: | Hoch |
| Kategorien: | Cross-Domain-Referer-Leckage |
| Betroffene Projekte: | edx-Plattform |
| Reporter: | Smit B. Shah & Nikhil Srivastava von Techdefence Labs |
| Permanente URL: | https://openedx.org/CVE-2015-2286 |
Am 11. Januar 2015 wurde von Smit B. Shah und Nikhil Srivastava eine Sicherheitslücke gemeldet, die dazu führte, dass Token zum Zurücksetzen von Passwörtern im HTTP-Referrer-Header an soziale Netzwerke von Drittanbietern weitergeleitet wurden. Die Schwachstelle würde es privilegierten Benutzern bei diesen Drittanbietern ermöglichen, Zugriff auf benutzergenerierte Kennwortrücksetzungstoken zu erhalten. Ein Patch, der diesen Fehler behebt, wurde am 29. Januar 2015 übertragen. Die Lösung dieses Problems wurde über die angekündigt security-notifications@edx.org Liste am 30. Januar 2015.
Die allgemeinen Schwachstellen und Gefährdungen (CVE) Projekt hat den Namen vergeben CVE-2015-2286 zu dieser Ausgabe. Dies ist ein Eintrag auf der CVE aufführen (http://cve.mitre.org), das Namen für Sicherheitsprobleme standardisiert.
Mehr Informationen
Social-Sharing-Links in der Fußzeile von edX waren auf der Zielseite vorhanden, die in der E-Mail zum Zurücksetzen des Passworts angegeben wurde. Für den Fall, dass ein Benutzer auf den per E-Mail gesendeten Link geklickt hat, um sein Passwort zurückzusetzen, und anschließend auf einen der Drittanbieter geklickt hat Folgen Sie uns Links in der edx-Fußzeile enthält der HTTP-Referrer-Header das Token zum Zurücksetzen des Kennworts. Dieses Token wäre dann entweder in Protokollen oder im Code verfügbar, der beim Drittanbieter ausgeführt wird.
Der Fehler wurde darin eingeführt verpflichten.
Darin wurde der Fehler behoben verpflichten.
