Allarme di sicurezza
| Gravità: | critico |
| Categoria: | Configurazione |
| Progetti interessati: | configurazione, piattaforma edx |
| Reporter: | EDX |
| URL permanente: | https://openedx.org/CVE-2015-2186 |
Il 6 marzo 2015 abbiamo scoperto e risolto un bug in Ansible edxapp ruolo che potrebbe consentire a diversi siti Web di impersonare account edX (sebbene non siamo a conoscenza del fatto che si sia verificata tale attività). Il bug è stato introdotto il 25 febbraio 2015. Se utilizzi Ansible per mantenere le distribuzioni di edx-platform e hai eseguito Ansible dal 25 febbraio 2015, ti consigliamo vivamente di aggiornare all'ultima versione della configurazione ed eseguire nuovamente i playbook per applicare la correzione. Si noti che questa vulnerabilità non era presente nelle versioni denominate Aspen o Birch di edX.
Le vulnerabilità e le esposizioni comuni (CVE) il progetto ha assegnato il nome CVE-2015-2186 a questo numero. Questa è una voce sul CVE elenco (http://CVE.mitre.org), che standardizza i nomi per problemi di sicurezza.
Maggiori informazioni
Il bug ha causato il CORS_ORIGIN_ALLOW_ALL impostazione da impostare su una stringa il cui valore era "False" invece di un booleano False. Il flag valutato come booleano True, facendo sì che il sito accetti richieste tra siti da qualsiasi sito web. Abbiamo modificato il valore predefinito e aggiornato tutti i nostri ambienti.
Il bug è stato introdotto in richiesta di estrazione 1869.
Il bug è stato corretto richiesta di estrazione 1885.
