安全警报

在对 edx 平台代码进行预定的第三方安全审计期间，发现一个错误允许某些类别的特权用户以正在运行的进程的用户身份执行任意代码。

常见漏洞和暴露 (CVE) 项目已为此问题分配了名称 CVE-2015-5601。 这是关于 CVE 列表 （http://CVE.mitre.org)，它标准化了安全问题的名称。

更多信息

问题在于课程导入端点，它接受 .tar.gz 文件上传。 可以制作一个 tar 文件，将文件提取到 edx-platform 目录下，而不是应用程序打算使用的 temp 目录（详见下文）。 由于 python 库路径中有 edx-platform 的子目录，“import foo”语句将在这些目录中查找“foo.py”。 攻击者可以将适当命名的 python 文件上传到其中一个目录，下次应用程序重新启动时，它将被导入并运行。

根本问题在于 tar 文件处理。 该应用程序小心地禁止使用向上遍历或绝对路径指向提取目录之外的文件和符号链接。 但是，这些检查在“extract_tar.py”中错误地假定提取目录是“.”，它解析为“/edx/app/edxapp/edx-platform”； 他们应该改用实际的提取目录。

实际提取发生在“/edx/var/edxapp/data”的课程特定子目录中，但可以创建指向“edx-platform”子目录的符号链接，并且可以将后续文件提取到它们。

该错误已在此修复 犯罪。