セキュリティーアラート
| 重大度: | クリティカル |
| カテゴリ: | |
| 影響を受けるプロジェクト: | 構成、edxプラットフォーム |
| 記者: | EDX |
| 永続URL: | https://openedx.org/CVE-2015-2186 |
6年2015月XNUMX日、Ansibleのバグを発見し、解決しました。 edxアプリ edXアカウントを偽装できる可能性のあるロールが存在しました(ただし、そのような行為が発生したという報告はありません)。このバグは25年2015月XNUMX日に発生しました。 Ansible を使用して edx-platform のデプロイメントを管理しており、25 年 2015 月 XNUMX 日以降に Ansible を実行している場合は、構成を最新バージョンに更新し、プレイブックを再実行して修正を適用することを強くお勧めします。 この脆弱性は、edX の Aspen または Birch という名前のリリースには存在しなかったことに注意してください。
共通脆弱性と露出(CVE)プロジェクトが名前を割り当てました CVE-2015-2186 この号のエントリです。 CVE リスト(http://シーブ.mitre.org)は、セキュリティ問題の名称を標準化する規格です。
詳細情報
このバグにより、 CORS_ORIGIN_ALLOW_ALL 設定がブール値のFalseではなく、「False」という文字列に設定されるよう設定されていました。このフラグはブール値のTrueと評価され、サイトはあらゆるウェブサイトからのクロスサイトリクエストを受け入れるようになりました。デフォルト値を変更し、すべての環境を更新しました。
このバグは プルリクエスト 1869.
このバグは修正されました プルリクエスト 1885.
