Hallo,
ich erhalte Meldungen von unserer zentralen IT, dass unsere Discourse-Instanz eine Sicherheitswarnung bezüglich CVE-2021-41163 auslöst, die den Endpunkt /webhooks/aws betrifft.
Ich habe ihnen mitgeteilt, dass wir die Software seit 2021 aktuell halten (wir führen monatlich automatisch einen „launcher app rebuild“ durch), aber ihr Scanner meldet es immer noch als Problem. Er ist überzeugt, dass wir eine Version vor 2.7.8 (2021) verwenden, aber wir sind auf 2026.01.0-latest. Ich bin mir also ziemlich sicher, dass ihr Scanner die Versionszeichenfolge falsch interpretiert oder die Existenz des Endpunkts erkennt und sich darüber beschwert.
Ich bin mir zu 99 % sicher, dass es kein Problem ist, aber ich muss sie davon überzeugen.
Gibt es eine saubere Möglichkeit, den AWS-Webhooks-Endpunkt zu deaktivieren, ohne discourse.conf bearbeiten zu müssen? Das würde sie wahrscheinlich besänftigen.
Natürlich besteht immer die 1%ige Möglichkeit, dass wir NICHT gepatcht sind. In diesem Fall wäre ich froh, wenn es eine Möglichkeit gäbe, dies zu testen. Ich habe etwas in git log gesucht, aber ich sehe keinen spezifischen Verweis auf dieses CVE.
Ratschläge?
