صباح الخير،
لدينا منصة طرف ثالث للأمن السيبراني تقوم بمسح جميع نطاقاتنا باستمرار بحثًا عن الثغرات الأمنية، ويشير خادم Discourse الخاص بي (الذي يعمل بالإصدار 2.9.0.beta7) المستضاف على DigitalOcean إلى NVTs و CVEs التالية. ترتبط جميع CVEs بـ nginx. هل فاتني أي عملية لتحديث nginx؟ أقدر أي مساعدة.
أهلاً!
ما لم تكن صورة الأساس لديك قديمة بطريقة ما (لا ينبغي أن يكون ذلك ممكنًا، فسيتم منعك من التحديث عبر واجهة المستخدم إذا كانت كذلك)، فإن Discourse غير معرض لتلك الثغرات الأمنية في nginx. يمكنك رؤية إصدار Nginx المستخدم على discourse_docker/image/base/install-nginx at main · discourse/discourse_docker · GitHub وبالنظر إلى nginx security advisories فإن الإصدار 1.21.0+ غير معرض للثغرات الأمنية المذكورة.
كيف قمت بتثبيت Discourse؟ هل اتبعت تعليمات التثبيت الرسمية؟ هل هناك أي بروكسيات أمام نسختك؟
شكرا على ردك السريع يا جوشوا،
لا توجد بروكسيات أمام المثيل.
لقد قمت بتثبيته عبر Marketplace بنقرة واحدة على DigitalOcean: Discourse | DigitalOcean Marketplace 1-Click App
المثيل هو Ubuntu 20.04.2 LTS
لذا لدينا دعم محدود للتثبيت بنقرة واحدة. يأتي هذا من DigitalOcean، وليس لدينا أي سيطرة عليه. على الرغم من أن DigitalOcean تقول “مدعوم بواسطة: DigitalOcean”، إلا أن عنوان URL للدعم يرسل الأشخاص إلى هنا، حيث لا يوجد موظفون من DO. 
على أي حال، أول شيء سأحاوله، لاستبعاد سيناريو صورة أساسية غريبة، هو تسجيل الدخول عبر SSH إلى القطرة الخاصة بك، وتشغيل ما يلي:
cd /var/discourse
git pull
sudo ./launcher rebuild app
سيضمن الأمر الأخير حصولك على أحدث صورة أساسية، بالإضافة إلى أحدث كود Discourse. تحذير، سيؤدي ذلك إلى تعطيل موقعك أثناء التشغيل.
ثم أعد تشغيل الماسح الخاص بك وانظر ماذا يبلغ.
شكرًا جوشوا،
سأفعل كما تقترح وسأعلمك.
هل هناك أي ملاحظات حول الثلاثة NVTs المدرجة؟
secure مفقودةhttpOnly مفقودةلست على دراية شخصية بـ NVTs. وجوجل لا يقدم نتائج واعدة بالضبط، انظر Google Search على سبيل المثال. أفضل ما حصلت عليه هو نتائج على موقع securityspace.com، وهو موقع، بشكل غريب، لا يستخدم SSL/TLS بنفسه ويبدو أنه تم بناؤه في التسعينيات.
هل توفر منصة الأمن السيبراني التابعة لجهة خارجية لديك مزيدًا من التفاصيل حول NVTs الثلاثة بخلاف العناوين؟
إعادة: أول اثنين:
يبدو أن المثيل تم تكوينه بشكل غير صحيح ولا يدرك أنه يعمل عبر https.
قد يؤدي SiteSetting.force_https = true إلى حل هذه المشكلة.
إعادة: الثالث:
هذه خاصية للمضيف الذي يعمل عليه Discourse وتحتاج إلى إصلاحها هناك.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
