Alerta de seguridad
| Gravedad: | Critical |
| Categoría: | Configuration |
| Proyectos afectados: | configuración, plataforma edx |
| Reportero: | Edx |
| URL permanente: | https://openedx.org/CVE-2015-2186 |
El 6 de marzo de 2015, descubrimos y solucionamos un error en Ansible edxapp función que podría permitir que diferentes sitios web se hagan pasar por cuentas de edX (aunque no tenemos conocimiento de que se haya producido tal actividad). El error se introdujo el 25 de febrero de 2015. Si usa Ansible para mantener implementaciones de edx-platform y ha ejecutado Ansible desde el 25 de febrero de 2015, le recomendamos que actualice a la última versión de configuración y vuelva a ejecutar sus playbooks para aplicar la corrección. Tenga en cuenta que esta vulnerabilidad no estaba presente en las versiones de edX con nombre de Aspen o Birch.
Las vulnerabilidades y exposiciones comunes (CVE) proyecto ha asignado el nombre CVE-2015-2186 a este problema. Esta es una entrada en el CVE lista (http://CVE.mitre.org), que estandariza nombres para problemas de seguridad.
Más Información
El error causó la CORS_ORIGIN_ALLOW_ALL configuración para establecerse en una cadena cuyo valor era "Falso" en lugar de un valor booleano Falso. El indicador se evaluó como booleano True, lo que provocó que el sitio aceptara solicitudes entre sitios de cualquier sitio web. Hemos cambiado el valor predeterminado y actualizado todos nuestros entornos.
El error fue introducido en solicitud de extracción 1869.
El error fue corregido en solicitud de extracción 1885.
