مرحباً،
أتلقى رسائل من قسم تكنولوجيا المعلومات المركزي لدينا يشكون من أن نسخة Discourse الخاصة بنا تطلق تحذيراً أمنياً بشأن CVE-2021-41163، والذي يتعلق بنقطة النهاية /webhooks/aws.
أخبرتهم أننا حافظنا على تحديث البرنامج منذ عام 2021 (نقوم بإجراء “إعادة بناء لتطبيق المشغل” تلقائياً كل شهر)، لكن الماسح الضوئي الخاص بهم لا يزال يشير إليها كمشكلة. إنهم مقتنعون بأننا نشغل إصداراً أقدم من 2.7.8 (2021)، لكننا نعمل على 2026.01.0-latest. لذلك أنا متأكد تماماً من أن الماسح الضوئي الخاص بهم يفسر سلسلة الإصدار بشكل خاطئ، أو يكتشف وجود نقطة النهاية ويشتكي من ذلك.
أنا متأكد بنسبة 99% من أنها ليست مشكلة، ولكني أحتاج إلى إقناعهم بذلك.
هل هناك طريقة نظيفة لتعطيل نقطة نهاية خطافات الويب (webhooks) الخاصة بـ AWS دون الحاجة إلى تعديل discourse.conf؟ قد يهدئ ذلك من روعهم.
بالطبع، هناك دائماً احتمال 1% بأننا لسنا مُرقّعين، وفي هذه الحالة، سأكون سعيداً بوجود طريقة لاختبار ذلك. لقد قمت ببعض البحث في git log ولكني لا أرى مرجعاً محدداً لذلك الـ CVE.
نصيحة؟
