Alerta de Segurança
| Gravidade: | Críticas |
| Categoria: | Configuração |
| Projetos afetados: | configuração, plataforma edx |
| Repórter: | edX |
| URL permanente: | https://openedx.org/CVE-2015-2186 |
Em 6 de março de 2015, descobrimos e resolvemos um bug no Ansible edxapp função que pode permitir que diferentes sites se passem por contas edX (embora não estejamos cientes de que tal atividade tenha ocorrido). O bug foi introduzido em 25 de fevereiro de 2015. Se você usa o Ansible para manter implantações da plataforma edx e executou o Ansible desde 25 de fevereiro de 2015, recomendamos que você atualize para a versão mais recente da configuração e execute novamente seus manuais para aplicar a correção. Observe que essa vulnerabilidade não estava presente nas versões Aspen ou Birch do edX.
As Vulnerabilidades e Exposições Comuns (CVE) projeto atribuiu o nome CVE-2015-2186 para esta edição. Esta é uma entrada no CVE lista (http://cve.mitre.org), que padroniza nomes para problemas de segurança.
Mais informações
O bug fez com que o CORS_ORIGIN_ALLOW_ALL configuração a ser definida como uma string cujo valor era "False" em vez de um booleano False. O sinalizador foi avaliado como booleano True, fazendo com que o site aceitasse solicitações entre sites de qualquer site. Alteramos o valor padrão e atualizamos todos os nossos ambientes.
O bug foi introduzido em solicitação de pull 1869.
O bug foi corrigido em solicitação de pull 1885.
