セキュリティーアラート
| 重大度: | 技法 |
| カテゴリ: | 内部データの漏洩 |
| 影響を受けるプロジェクト: | edxプラットフォーム |
| 記者: | 内部レビュー |
| 永続URL: | https://openedx.org/CVE-2015-6671 |
内部調査中に、シングル サインオンに SAML を使用するインスタンスがデータベースに秘密を保存していることが判明しました。
共通脆弱性と露出(CVE)プロジェクトが名前を割り当てました CVE-2015-6671 この問題に関する記事です。 CVE リスト(http://シーブ.mitre.org)は、セキュリティ問題の名称を標準化する規格です。
詳細情報
この変更により、インスタンス管理者はインスタンスのSAML秘密鍵とOAuth2シークレットをデータベースまたは~/lms.auth.jsonに保存することを選択できます。前者は後方互換性のために保持されていますが、後者はより安全な推奨オプションです。
データベースにキーをプレーン テキストで保存すること自体は脆弱性ではありませんが、潜在的な攻撃の対象領域が拡大します。つまり、攻撃者が他の脆弱性を悪用して、バックアップや読み取りレプリカなどのデータベースのコピーにアクセスできた場合、SAML 秘密キーにもアクセスできるようになります。
このバグは修正されました コミット。
