Salve,
Abbiamo una piattaforma di cybersecurity di terze parti che esegue costantemente la scansione di tutti i nostri domini alla ricerca di vulnerabilità, il mio server Discourse (in esecuzione 2.9.0.beta7) ospitato su DigitalOcean sta segnalando i seguenti NVT e CVE. Tutti i CVE sono correlati a nginx. Mi è sfuggito qualche processo per aggiornare nginx? Apprezzo qualsiasi assistenza.
Ciao!
A meno che la tua immagine di base non sia in qualche modo obsoleta (non dovrebbe essere possibile, ti verrebbe impedito l’aggiornamento tramite l’interfaccia utente se lo fosse), Discourse non è vulnerabile a quelle CVE di nginx. Puoi vedere la versione di Nginx utilizzata su discourse_docker/image/base/install-nginx at main · discourse/discourse_docker · GitHub e, guardando su nginx security advisories, la versione 1.21.0+ non è vulnerabile alle CVE elencate.
Come hai installato Discourse? Hai seguito le istruzioni di installazione ufficiali? Ci sono proxy davanti alla tua istanza?
Grazie per la tua rapida risposta Joshua,
Nessun proxy davanti all’istanza.
L’ho installata tramite il Marketplace 1-click su DigitalOcean: Discourse | DigitalOcean Marketplace 1-Click App
L’istanza è Ubuntu 20.04.2 LTS
Abbiamo un supporto limitato per l’installazione con 1 clic. Questo proviene da DigitalOcean, non abbiamo alcun controllo su di esso. Nonostante DigitalOcean dica “Supportato da: DigitalOcean”, l’URL di supporto invia le persone qui, dove il personale di DO non è presente. 
Comunque, la prima cosa che proverei, per escludere uno scenario di immagine base anomalo, è accedere tramite SSH al tuo droplet ed eseguire quanto segue:
cd /var/discourse
git pull
sudo ./launcher rebuild app
Quest’ultimo comando garantirà che tu abbia l’ultima immagine base, nonché l’ultimo codice Discourse. Attenzione: il tuo sito sarà offline durante l’esecuzione.
Quindi riesegui la scansione e vedi cosa riporta.
Grazie Joshua,
Farò come suggerisci e ti farò sapere.
Hai qualche feedback sui tre NVT elencati?
secure mancantehttpOnly mancanteNon ho familiarità con gli NVT. E Google non sta dando risultati promettenti, vedi ad esempio Google Search. Il meglio che riesco a trovare sono risultati su securityspace.com, un sito che, stranamente, non utilizza SSL/TLS e sembra costruito negli anni '90.
La tua piattaforma di cybersecurity di terze parti fornisce maggiori dettagli sui 3 NVT oltre ai titoli?
Mi scuso, Joshua, gli NVT sono Network Vulnerability Tests (Test di Vulnerabilità di Rete)
Questo è il dettaglio disponibile:
Re: i primi due:
Sembra che l’istanza sia configurata in modo errato e non si renda conto che sta servendo tramite https.
SiteSetting.force_https = true potrebbe risolvere questo problema.
Re: il terzo:
Questa è una proprietà dell’host su cui è in esecuzione Discourse e deve essere corretta lì.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
