Сигнал безпеки

Під час перевірки коду платформи edX було виявлено деякі побічні запити HTTP GET. Такі запити, як правило, небажані та не забезпечують захист від підробки міжсайтових запитів (CSRF). В одному конкретному випадку користувачі потенційно можуть збільшити свої привілеї шляхом атаки на персонал або суперкористувачів.

Додаткова інформація

Цей патч усуває проблему, через яку зловмисник міг заманити інструктора переглянути сторінку, яка, у свою чергу, могла надати зловмиснику додаткові привілеї.

Незважаючи на те, що платформа вже використовує захист проміжного програмного забезпечення Django від Cross-Site Request Forgery (CSRF), деякі кінцеві точки з побічними ефектами використовують методи GET. Виправлення змушує ці кінцеві точки вимагати POST, що також належним чином увімкне захист CSRF.

Для отримання додаткової інформації див.

- https://docs.djangoproject.com/en/1.9/ref/csrf/

Ми наполегливо рекомендуємо вам якнайшвидше виправляти свої екземпляри.

Патч для тих, хто уважно стежить за майстром:
https://github.com/edx/edx-platform/commit/d54f79f5bf3e1af17063937df1abc…

Латка для іменно-релізного кизилу:
https://github.com/edx/edx-platform/commit/d929c1cd8ca11d801a03232f200c9…