Alerte de sécurité
| Gravité: | Critical |
| Catégorie: | Configuration |
| Projets concernés : | configuration, plate-forme edx |
| Journaliste: | EDX |
| URL permanente : | https://openedx.org/CVE-2015-2186 |
Le 6 mars 2015, nous avons découvert et résolu un bogue dans Ansible edxapp rôle qui pourrait permettre à différents sites Web d'usurper l'identité de comptes edX (bien que nous ne soyons pas au courant qu'une telle activité ait eu lieu). Le bogue a été introduit le 25 février 2015. Si vous utilisez Ansible pour maintenir les déploiements de la plate-forme edx et que vous exécutez Ansible depuis le 25 février 2015, nous vous recommandons vivement de mettre à jour la dernière version de la configuration et de réexécuter vos playbooks pour appliquer le correctif. Notez que cette vulnérabilité n'était pas présente dans les versions nommées Aspen ou Birch d'edX.
Les vulnérabilités et expositions courantes (CVE) projet a attribué le nom CVE-2015-2186 à ce numéro. Il s'agit d'une entrée sur le CVE liste (http://cve.mitre.org), qui normalise les noms des problèmes de sécurité.
Plus d'informations
Le bogue a causé le CORS_ORIGIN_ALLOW_ALL paramètre à définir sur une chaîne dont la valeur était "False" au lieu d'un booléen False. L'indicateur est évalué à booléen True, ce qui oblige le site à accepter les demandes intersites de n'importe quel site Web. Nous avons changé la valeur par défaut et mis à jour tous nos environnements.
Le bogue a été introduit dans demande d'extraction 1869.
Le bogue a été corrigé dans demande d'extraction 1885.
