Hallo,
Wir haben eine externe Cybersicherheitsplattform, die ständig alle unsere Domains auf Schwachstellen scannt. Mein Discourse-Server (Version 2.9.0.beta7), der auf DigitalOcean gehostet wird, meldet die folgenden NVTs und CVEs. Alle CVEs beziehen sich auf nginx. Habe ich irgendwo einen Prozess zum Aktualisieren von nginx verpasst? Ich freue mich über jede Hilfe.
Hallo!
Sofern Ihr Basis-Image nicht veraltet ist (was nicht möglich sein sollte, da Sie über die Benutzeroberfläche daran gehindert würden, ein Update durchzuführen), ist Discourse nicht anfällig für diese Nginx CVEs. Sie können die verwendete Nginx-Version unter discourse_docker/image/base/install-nginx at main · discourse/discourse_docker · GitHub einsehen, und wenn Sie sich nginx security advisories ansehen, ist 1.21.0+ nicht anfällig für die dort aufgeführten CVEs.
Wie haben Sie Discourse installiert? Haben Sie die offiziellen Installationsanweisungen befolgt? Gibt es Proxys vor Ihrer Instanz?
Vielen Dank für deine schnelle Antwort Joshua,
Keine Proxys vor der Instanz.
Ich habe es über das 1-Klick-Marktplatz von DigitalOcean installiert: Discourse | DigitalOcean Marketplace 1-Click App
Die Instanz ist Ubuntu 20.04.2 LTS
Wir haben also eine eingeschränkte Unterstützung für die 1-Klick-Installation. Diese kommt von DigitalOcean, wir haben keine Kontrolle darüber. Obwohl DigitalOcean sagt „Unterstützt von: DigitalOcean“, leitet die Support-URL die Leute hierher, wo sich DO-Mitarbeiter nicht befinden. 
Versuchen Sie als Erstes, um ein seltsames Basis-Image-Szenario auszuschließen, sich per SSH mit Ihrem Droplet zu verbinden und Folgendes auszuführen:
cd /var/discourse
git pull
sudo ./launcher rebuild app
Der letzte Befehl stellt sicher, dass Sie das neueste Basis-Image sowie den neuesten Discourse-Code haben. Warnung: Ihre Website wird während der Ausführung heruntergefahren.
Führen Sie dann Ihren Scanner erneut aus und prüfen Sie, was er meldet.
Danke Joshua,
Ich werde wie von Ihnen vorgeschlagen vorgehen und Sie auf dem Laufenden halten.
Haben Sie Feedback zu den drei aufgeführten NVTs?
secure-Cookie-AttributhttpOnly-Cookie-AttributIch bin mit NVTs nicht persönlich vertraut. Und Google liefert keine vielversprechenden Ergebnisse, siehe zum Beispiel Google Search. Das Beste, was ich finde, sind Ergebnisse auf securityspace.com, einer Website, die seltsamerweise selbst kein SSL/TLS verwendet und aussieht, als wäre sie in den 90er Jahren gebaut worden.
Bietet Ihre Cybersicherheitsplattform von Drittanbietern mehr Details zu den 3 NVTs außer Titeln?
Entschuldigung Joshua, die NVT’s sind Network Vulnerability Tests (Netzwerk-Schwachstellentests)
Dies sind die verfügbaren Details:
Re: die ersten beiden:
Es scheint, dass die Instanz falsch konfiguriert ist und nicht erkennt, dass sie über HTTPS bereitgestellt wird.
SiteSetting.force_https = true könnte dies beheben.
Re: die dritte:
Dies ist eine Eigenschaft des Hosts, auf dem Discourse läuft, und muss dort behoben werden.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
