Vulnerabilidad de Discourse CVE-2021-41163

sarahann · 29 Octubre, 2021 00:28

Hola a todos,

Recientemente me enteré de esta vulnerabilidad de seguridad en Discourse NVD - CVE-2021-41163 (nist.gov)

Me surgió la duda porque está en la URL /webhooks/aws, ¿Discourse en Azure también se ve afectado por esto?

Falco · 29 Octubre, 2021 04:18

Cada instancia se ve afectada (si no se aplica el parche) sin importar dónde se aloje.

sarahann · 29 Octubre, 2021 18:46

¡Hola @Falco, gracias por la respuesta rápida!

No soy un experto en Ruby, pero pensé que esta línea de código evitaría la ejecución de la parte vulnerable en Azure, ya que debería evaluarse como falsa. Por favor, corrígeme si me equivoco, ya que no conozco Ruby.

Además, como solución temporal y NO RECOMENDADA (ya que actualizar es 100% la mejor solución), ¿podrías editar el archivo de nginx para arreglar esto temporalmente hasta que se realice la actualización?
De la siguiente manera:

ssh a la máquina
cd /var/discourse
./launcher enter app
cd /etc/nginx/conf.d/
editar discourse.conf
agregar:

location ~* /webhooks/aws {
    deny all;
}

sv restart nginx

Tengo la intención de actualizar, y pronto. Pero necesitaré aproximadamente una semana para organizar las cosas en nuestro entorno de producción y me gustaría estar seguro mientras tanto.

Falco · 29 Octubre, 2021 19:20

Esa línea se ejecutará de todos modos, ya que ese parámetro es entrada de usuario.

sarahann:

Además, como solución temporal completa y NO RECOMENDADA, ya que actualizar es 100% la mejor solución. ¿Podrías editar el archivo de nginx para arreglar esto temporalmente hasta que se actualice?
Como esto:

ssh a la máquina

cd /var/discourse

./launcher enter app

cd /etc/nginx/conf.d/

editar discourse.conf

agregar:
location ~* /webhooks/aws {
    deny all;
}
sv restart nginx

Eso podría funcionar, pero como mencionaste, es un parche temporal. Reconstruir eliminará la solución y ten mucho cuidado al probar, ya que la configuración de nginx es muy complicada de ajustar correctamente.

awslabspl · 29 Octubre, 2021 21:19

Basado en la información de nuestro equipo de seguridad, esto no es un error de Discourse. Este error está en nuestro sistema de distribución de mensajes SNS (MDS) (no podemos entrar en muchos detalles aquí), lo que significa que afectará a cada paquete que utilice o haga uso del servicio SNS.

michaeld · 29 Octubre, 2021 21:29

Sí, el problema es causado efectivamente por un fallo en la gema aws-sdk-sns de un proveedor externo. Sin embargo, es importante comprender que, dado que Discourse utiliza esta gema y expone el error al público, cada instancia de Discourse es vulnerable, incluso si no utiliza realmente el servicio AWS SNS.

Por lo tanto, aunque no se trata de un “error de Discourse”, sí es una “vulnerabilidad de seguridad en Discourse”.

valsha · 30 Octubre, 2021 08:59

¿Esta vulnerabilidad está corregida? Gracias.

HAWK · 30 Octubre, 2021 09:08

Sí, pero debes asegurarte de haber aplicado el parche. Lee el tema.

valsha · 30 Octubre, 2021 09:14

¿un simple

reconstrucción de la aplicación lanzador

no ayudará a corregir esta vulnerabilidad?

david · 30 Octubre, 2021 10:23

./launcher rebuild app aplicará las últimas actualizaciones a tu instancia de Discourse e incluirá el parche para este problema

Puedes encontrar información oficial en RCE via malicious SNS subscription payload · Advisory · discourse/discourse · GitHub

awslabspl · 30 Octubre, 2021 18:06

Suena mejor

Tema		Respuestas	Vistas
CVE-2021-41163 false positive Support	4	74	6 Enero 2026
Discourse Vulnerability [False Positive] Support	3	1498	10 Junio 2019
Management of NVTs and CVEs Self-hosting unsupported-install	8	1020	25 Julio 2022
Discourse instance unreachable on AWS Support	29	4023	30 Abril 2019
Discourse + Web Application Firewall (WAF) mod_security Self-hosting unsupported-install , hosting	8	3620	20 Noviembre 2019

Vulnerabilidad de Discourse CVE-2021-41163

Temas relacionados