Alerte de sécurité
| Gravité: | Moyenne |
| Catégorie: | Exposition interne des données |
| Projets concernés : | edx-platform |
| Journaliste: | Examen interne |
| URL permanente : | https://openedx.org/CVE-2015-6671 |
Au cours de l'examen interne, nous avons découvert que les instances utilisant SAML pour l'authentification unique stockaient des secrets dans la base de données.
Les vulnérabilités et expositions courantes (CVE) projet a attribué le nom CVE-2015-6671 à ce problème. Il s'agit d'une entrée sur le CVE liste (http://cve.mitre.org), qui normalise les noms des problèmes de sécurité.
Plus d'informations
Avec ce changement en place, les administrateurs d'instance peuvent choisir de stocker la clé privée SAML et les secrets OAuth2 de l'instance dans la base de données ou dans ~/lms.auth.json. Le premier est conservé pour la rétrocompatibilité ; cette dernière est désormais l'option préférée, la plus sécurisée.
Le stockage des clés dans la base de données en texte brut n'était pas en soi une vulnérabilité, mais créait plus de surface pour une attaque potentielle : dans le cas où un adversaire était en mesure d'exploiter une autre vulnérabilité et d'accéder à une copie de la base de données, telle en tant que sauvegarde ou réplica en lecture, ils auraient également accès à la clé privée SAML.
Le bogue a été corrigé dans ce s'engager.
