Сигнал безпеки
| Тяжкість: | Medium |
| Категорія: | Розкриття внутрішніх даних |
| Постраждалі проекти: | edx-платформа |
| Репортер: | Внутрішній огляд |
| Постійна URL-адреса: | https://openedx.org/CVE-2015-6671 |
Під час внутрішньої перевірки ми виявили, що екземпляри, які використовують SAML для єдиного входу, зберігають секрети в базі даних.
Загальні вразливості та ризики (CVE) проект отримав назву CVE-2015-6671 до цього питання. Це запис на CVE список (http://cve.mitre.org), який стандартизує імена для проблем безпеки.
Додаткова інформація
З цією зміною адміністратори екземпляра можуть зберігати закритий ключ SAML екземпляра та секрети OAuth2 або в базі даних, або в ~/lms.auth.json. Перший зберігається для зворотної сумісності; останній тепер є кращим і безпечнішим варіантом.
Зберігання ключів у базі даних у вигляді звичайного тексту саме по собі не було вразливістю, але створювало більше площі для потенційної атаки: у випадку, якщо зловмисник міг використати якусь іншу вразливість і отримати доступ до копії бази даних, наприклад як резервну копію або репліку для читання, тоді вони також матимуть доступ до закритого ключа SAML.
У цьому помилка була виправлена вчинити.
