こんにちは。
サードパーティのサイバーセキュリティプラットフォームが、私たちのドメインすべてを継続的に脆弱性スキャンしています。DigitalOceanでホストされている私のDiscourseサーバー(バージョン2.9.0.beta7を実行中)で、以下のNVTとCVEがフラグされています。すべてのCVEはnginxに関連しています。nginxを更新するプロセスを見逃しましたか?ご協力いただけると幸いです。
こんにちは!
ベースイメージが何らかの理由で古くなっている場合(そうなることは不可能で、UIから更新できなくなります)、Discourseはそのnginx CVEの影響を受けません。Nginxのバージョンはdiscourse_docker/image/base/install-nginx at main · discourse/discourse_docker · GitHub
Discourseはどのようにインストールしましたか?公式のインストール手順に従いましたか?インスタンスの前にプロキシはありますか?
Joshua、迅速な返信ありがとうございます。
インスタンスの前にプロキシはありません。
DigitalOceanの1-Click Marketplaceからインストールしました: Discourse | DigitalOcean Marketplace 1-Click App
インスタンスはUbuntu 20.04.2 LTSです。
「いいね!」 1
1クリックインストールのサポートは限定的です。これはDigitalOceanからのもので、こちらでは制御できません。DigitalOceanは「サポート元: DigitalOcean」と表示していますが、サポートURLは、DOのスタッフがいないこちらに誘導されます。
いずれにせよ、まず試していただきたいのは、奇妙なベースイメージのシナリオを除外するために、ドロップレットにSSHで接続し、以下を実行することです。
cd /var/discourse
git pull
sudo ./launcher rebuild app
最後のコマンドは、最新のDiscourseコードだけでなく、最新のベースイメージも確実に取得します。**警告、**実行中はサイトがダウンします。
その後、スキャナーを再実行して、何が報告されるか確認してください。
「いいね!」 3
ジョシュアさん、ありがとうございます。
ご提案いただいた通りに実施し、結果をご連絡します。
提示された3つのNVTについて、何かフィードバックはありますか?
- SSL/TLS:
secureCookie属性がありません httpOnlyCookie属性がありません- TCPタイムスタンプ
NVTについては個人的に詳しくありません。また、Googleで検索しても有望な結果は得られません。例えば、Google Search をご覧ください。最も有力な情報はsecurityspace.comというサイトから得られましたが、このサイトは奇妙なことにSSL/TLSを使用しておらず、90年代に作られたように見えます。
貴社のサードパーティ製サイバーセキュリティプラットフォームでは、タイトルの他に3つのNVTに関する詳細情報を提供していますか?
「いいね!」 1
Re:最初の2つ:
インスタンスが不適切に設定されており、HTTPSで提供されていることを認識していないようです。
SiteSetting.force_https = true で解決する可能性があります。
Re:3つ目:
これはDiscourseが実行されているホストのプロパティであり、そちらで修正する必要があります。
「いいね!」 4
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.