こんにちは。
当社のDiscourseインスタンスが、/webhooks/awsエンドポイントに関するCVE-2021-41163のセキュリティ警告をトリガーしていると、中央IT部門からメッセージが届いています。
2021年以降、ソフトウェアを最新の状態に保っている(毎月自動的に「launcher app rebuild」を実行している)と伝えたのですが、彼らのスキャナーは依然としてそれを問題としてフラグを立てています。彼らは、私たちが2.7.8(2021年)より前のバージョンを実行していると確信していますが、私たちは2026.01.0-latestを使用しています。そのため、彼らのスキャナーがバージョン文字列を誤って解釈しているか、そのエンドポイントの存在を検出して文句を言っているのだと確信しています。
問題ではないと99%確信していますが、彼らを納得させる必要があります。
discourse.confをいじることなく、AWSウェブフックエンドポイントを無効にする簡単な方法はありますか?それでおそらく彼らも納得するでしょう。
もちろん、パッチが適用されていないという1%の可能性も常にありますが、その場合は、それをテストする方法があれば幸いです。git logでgrepを試みましたが、そのCVEへの具体的な参照は見つかりませんでした。
何かアドバイスはありますか?
