Ciao a tutti,
Sono stato recentemente informato di questa vulnerabilità di sicurezza in Discourse NVD - CVE-2021-41163 (nist.gov)
Ero curioso perché si trova sull’URL /webhooks/aws, anche Discourse su Azure è interessato da questa vulnerabilità?
Ogni istanza è interessata (se non applicata la patch), indipendentemente da dove viene ospitata.
Ciao @Falco, grazie per la risposta veloce!
Non sono un esperto di Ruby, ma pensavo che questa riga di codice impedisse l’esecuzione della parte vulnerabile su Azure, poiché verrebbe valutata come falsa? Correggimi pure se sbaglio, dato che non conosco Ruby.
Inoltre, come soluzione temporanea e NON CONSIGLIATA (l’aggiornamento rimane la soluzione migliore al 100%), potresti modificare il file nginx per risolvere temporaneamente il problema fino all’aggiornamento?
Ecco come:
- Connettiti via SSH alla macchina
- cd /var/discourse
- ./launcher enter app
- cd /etc/nginx/conf.d/
- modifica discourse.conf
- aggiungi:
location ~* /webhooks/aws {
deny all;
}
- sv restart nginx
Ho l’intenzione di aggiornare, e presto. Ma mi servirà circa una settimana per organizzare le cose per il nostro ambiente di produzione e vorrei essere sicuro nel frattempo.
Quella riga verrà eseguita comunque, poiché quel parametro è un input dell’utente.
Potrebbe funzionare, ma come avete detto è una soluzione temporanea. Una ricostruzione rimuoverà la correzione, e siate molto cauti nei test poiché la configurazione di nginx è molto delicata da impostare correttamente.
In base alle informazioni del nostro team di sicurezza, questo non è un bug di Discourse. Il bug si trova nel nostro sistema di distribuzione dei messaggi SNS (MDS) (non possiamo entrare troppo nei dettagli qui), il che significa che colpirà ogni pacchetto che utilizza o fa uso del servizio SNS.
Sì, il problema è effettivamente causato da un problema a monte nel gem aws-sdk-sns. Tuttavia, è importante rendersi conto che, poiché Discourse utilizza questo gem ed espone il bug al mondo, ogni istanza di Discourse è vulnerabile anche quando non utilizza effettivamente il servizio AWS SNS.
Quindi, anche se non si tratta di un “bug di Discourse”, è effettivamente una “vulnerabilità di sicurezza in Discourse”.
Questa vulnerabilità è stata risolta? Grazie.
Sì, ma devi assicurarti di aver applicato la patch. Leggi l’argomento. 
un semplice
ricostruzione dell’app di avvio
non aiuterà a risolvere questa vulnerabilità?
./launcher rebuild app applicherà gli ultimi aggiornamenti alla tua istanza di Discourse e includerà la patch per questo problema 
Le informazioni ufficiali sono disponibili all’indirizzo RCE via malicious SNS subscription payload · Advisory · discourse/discourse · GitHub
Suona meglio