Allarme di sicurezza
| Gravità: | Medio |
| Categoria: | Esposizione interna dei dati |
| Progetti interessati: | piattaforma edx |
| Reporter: | Revisione interna |
| URL permanente: | https://openedx.org/CVE-2015-6671 |
Durante la revisione interna, abbiamo scoperto che le istanze che utilizzano SAML per Single Sign-On archiviano i segreti nel database.
Le vulnerabilità e le esposizioni comuni (CVE) il progetto ha assegnato il nome CVE-2015-6671 a questo problema. Questa è una voce sul CVE elenco (http://CVE.mitre.org), che standardizza i nomi per problemi di sicurezza.
Maggiori informazioni
Con questa modifica in atto, gli amministratori dell'istanza possono scegliere di archiviare la chiave privata SAML dell'istanza e i segreti OAuth2 nel database o in ~/lms.auth.json. Il primo è mantenuto per compatibilità con le versioni precedenti; quest'ultima è ora l'opzione preferita e più sicura.
La memorizzazione delle chiavi nel database in testo normale non era di per sé una vulnerabilità, ma creava più superficie per un potenziale attacco: nel caso in cui un avversario fosse in grado di sfruttare qualche altra vulnerabilità e ottenere l'accesso a una copia del database, tale come backup o replica di lettura, avrebbero anche accesso alla chiave privata SAML.
Il bug è stato corretto in questo commettere.
