Vulnerabilidade do Discourse CVE-2021-41163

sarahann · Outubro 29, 2021, 12:28am

Olá a todos,

Fui recentemente informado sobre esta vulnerabilidade de segurança no Discourse NVD - CVE-2021-41163 (nist.gov)

Fiquei curioso, já que ela está na URL /webhooks/aws. O Discourse no Azure também é afetado por isso?

Falco · Outubro 29, 2021, 4:18am

Toda instância é afetada (se não estiver corrigida), independentemente de onde você a hospede.

sarahann · Outubro 29, 2021, 6:46pm

Olá @Falco, obrigado pela resposta rápida!

Não sou especialista em Ruby, mas achei que essa linha de código impediria a execução da parte vulnerável no Azure, já que ela seria avaliada como falsa?? Por favor, me corrija se estiver errado, pois não domino Ruby.

Além disso, como uma solução paliativa completa e NÃO RECOMENDADA (já que atualizar é 100% a melhor solução), você poderia editar o arquivo nginx para corrigir isso temporariamente até a atualização?
Siga estes passos:

ssh para a máquina
cd /var/discourse
./launcher enter app
cd /etc/nginx/conf.d/
edite discourse.conf
adicione:

location ~* /webhooks/aws {
    deny all;
}

sv restart nginx

Tenho toda a intenção de atualizar em breve. Mas precisarei de cerca de uma semana para organizar as coisas no nosso ambiente de produção e gostaria de estar seguro nesse intervalo.

Falco · Outubro 29, 2021, 7:20pm

Essa linha será executada de qualquer forma, pois esse parâmetro é entrada do usuário.

sarahann:

Além disso, como uma solução paliativa completa e NÃO RECOMENDADA (já que a atualização é 100% a melhor solução), você poderia editar o arquivo nginx para corrigir isso temporariamente até a atualização?
Assim:

ssh na máquina

cd /var/discourse

./launcher enter app

cd /etc/nginx/conf.d/

edite discourse.conf

adicione:
location ~* /webhooks/aws {
    deny all;
}
sv restart nginx

Isso pode funcionar, mas, como você mesmo disse, é apenas um paliativo. A reconstrução removerá a correção, e tenha muito cuidado ao testar, pois a configuração do nginx é muito complicada de acertar.

awslabspl · Outubro 29, 2021, 9:19pm

Com base nas informações de nossa equipe de segurança, isso não é um bug do Discourse. O bug está em nosso sistema de distribuição de mensagens SNS (MDS) (não podemos entrar em muitos detalhes aqui), o que significa que afetará todos os pacotes que utilizam ou fazem uso do serviço SNS.

michaeld · Outubro 29, 2021, 9:29pm

Sim, o problema é de fato causado por uma falha upstream na gem aws-sdk-sns. No entanto, é importante perceber que, como o Discourse utiliza essa gem e expõe o bug ao mundo, toda instância do Discourse está vulnerável, mesmo que não utilize realmente o serviço AWS SNS.

Portanto, embora não seja um “bug do Discourse”, trata-se sim de uma “vulnerabilidade de segurança no Discourse”.

valsha · Outubro 30, 2021, 8:59am

essa vulnerabilidade foi corrigida? obrigado.

HAWK · Outubro 30, 2021, 9:08am

Sim, mas você precisa garantir que aplicou o patch. Leia o tópico.

valsha · Outubro 30, 2021, 9:14am

um simples

aplicativo de reconstrução do launcher

não ajudará a corrigir essa vulnerabilidade?

david · Outubro 30, 2021, 10:23am

./launcher rebuild app aplicará as atualizações mais recentes à sua instância do Discourse e incluirá a correção para este problema

Informações oficiais podem ser encontradas em RCE via malicious SNS subscription payload · Advisory · discourse/discourse · GitHub

awslabspl · Outubro 30, 2021, 6:06pm

Soa melhor

Tópico		Respostas	Visualizações
CVE-2021-41163 false positive Support	4	74	6 de Janeiro de 2026
Discourse Vulnerability [False Positive] Support	3	1498	10 de Junho de 2019
Management of NVTs and CVEs Self-hosting unsupported-install	8	1020	25 de Julho de 2022
Discourse instance unreachable on AWS Support	29	4023	30 de Abril de 2019
Discourse + Web Application Firewall (WAF) mod_security Self-hosting unsupported-install , hosting	8	3619	20 de Novembro de 2019

Vulnerabilidade do Discourse CVE-2021-41163

Tópicos relacionados