G’day,
Nous avons une plateforme de cybersécurité tierce qui analyse constamment tous nos domaines à la recherche de vulnérabilités. Mon serveur Discourse (exécutant la version 2.9.0.beta7), hébergé sur DigitalOcean, signale les NVT et CVE suivants. Tous les CVE sont liés à nginx. Ai-je manqué un processus pour mettre à jour nginx ? J’apprécierais toute aide.
Salut !
À moins que votre image de base ne soit obsolète (ce qui ne devrait pas être possible, vous seriez empêché de mettre à jour via l’interface utilisateur si c’était le cas), Discourse n’est pas vulnérable à ces CVE nginx. Vous pouvez voir la version de Nginx utilisée sur discourse_docker/image/base/install-nginx at main · discourse/discourse_docker · GitHub, et en regardant sur nginx security advisories, la version 1.21.0+ n’est pas vulnérable aux CVE listées.
Comment avez-vous installé Discourse ? Avez-vous suivi les instructions d’installation officielles ? Y a-t-il des proxys devant votre instance ?
Merci pour votre réponse rapide Joshua,
Aucun proxy devant l’instance.
Je l’ai installé via le Marketplace 1-clic sur DigitalOcean : Discourse | DigitalOcean Marketplace 1-Click App
L’instance est Ubuntu 20.04.2 LTS
Nous avons donc un support limité pour l’installation en 1 clic. Cela vient de DigitalOcean, nous n’avons aucun contrôle dessus. Bien que DigitalOcean dise « Pris en charge par : DigitalOcean », l’URL de support renvoie ici, où le personnel de DO n’est pas. 
Quoi qu’il en soit, la première chose que j’essaierais, pour exclure un scénario d’image de base étrange, serait de vous connecter en SSH à votre droplet et d’exécuter ce qui suit :
cd /var/discourse
git pull
sudo ./launcher rebuild app
Cette dernière commande garantira que vous disposez de la dernière image de base, ainsi que du dernier code Discourse. Attention, cela mettra votre site hors service pendant son exécution.
Ensuite, relancez votre analyseur et voyez ce qu’il rapporte.
Merci Joshua,
Je ferai comme vous le suggérez et vous tiendrai au courant.
Des commentaires sur les trois NVT listés ?
secure manquanthttpOnly manquantJe ne connais pas personnellement les NVT. Et Google ne donne pas vraiment de résultats prometteurs, voir Google Search par exemple. Le mieux que je trouve, ce sont des résultats sur securityspace.com, un site qui, étrangement, n’utilise pas lui-même le SSL/TLS et semble avoir été construit dans les années 90.
Votre plateforme de cybersécurité tierce fournit-elle plus de détails sur les 3 NVT au-delà des titres ?
Désolé Joshua, les NVT sont des tests de vulnérabilité réseau (Network Vulnerability Tests).
Voici les détails disponibles :
Re: les deux premiers :
Il semble que l’instance soit mal configurée et ne réalise pas qu’elle sert sur https.
SiteSetting.force_https = true pourrait résoudre ce problème.
Re: le troisième :
C’est une propriété de l’hôte sur lequel Discourse s’exécute et doit y être corrigée.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
