Сигнал безпеки
| Тяжкість: | Критичний |
| Категорія: | конфігурація |
| Постраждалі проекти: | конфігурація, edx-платформа |
| Репортер: | EDX |
| Постійна URL-адреса: | https://openedx.org/CVE-2015-2186 |
6 березня 2015 року ми виявили та усунули помилку в Ansible edxapp роль, яка може дозволити різним веб-сайтам видавати себе за облікові записи edX (хоча ми не знаємо, що така діяльність мала місце). Помилка була представлена 25 лютого 2015 року. Якщо ви використовуєте Ansible для підтримки розгортання платформи edx і запускаєте Ansible з 25 лютого 2015 року, ми настійно рекомендуємо вам оновити конфігурацію до останньої версії та повторно запустити свої посібники, щоб застосувати виправлення. Зауважте, що цієї вразливості не було ні в випусках edX під назвою Aspen, ні в Birch.
Загальні вразливості та ризики (CVE) проект отримав назву CVE-2015-2186 до цього номера. Це запис на CVE список (http://cve.mitre.org), який стандартизує імена для проблем безпеки.
Додаткова інформація
Помилка спричинила CORS_ORIGIN_ALLOW_ALL параметр має бути встановлено на рядок, значення якого було «False» замість логічного значення False. Позначка, оцінена як логічне значення True, змушує сайт приймати міжсайтові запити з будь-якого веб-сайту. Ми змінили значення за замовчуванням і оновили всі наші середовища.
Помилка була введена в Запит на витяг 1869.
Помилка була виправлена в Запит на витяг 1885.
