Olá,
Temos uma plataforma de cibersegurança de terceiros que verifica constantemente todos os nossos domínios em busca de vulnerabilidades. Meu servidor Discourse (executando 2.9.0.beta7) hospedado na DigitalOcean está sinalizando os seguintes NVTs e CVEs. Todos os CVEs estão relacionados ao nginx. Perdi algum processo para atualizar o nginx? Agradeço qualquer ajuda.
Olá!
A menos que sua imagem base esteja desatualizada (o que não deveria ser possível, você seria impedido de atualizar pela interface do usuário se estivesse), o Discourse não é vulnerável a essas CVEs do nginx. Você pode ver a versão do Nginx usada em discourse_docker/image/base/install-nginx at main · discourse/discourse_docker · GitHub e, olhando em nginx security advisories, a versão 1.21.0+ não é vulnerável às CVEs listadas.
Como você instalou o Discourse? Você seguiu as instruções oficiais de instalação? Algum proxy na frente da sua instância?
Obrigado pela sua rápida resposta Joshua,
Sem proxies na frente da instância.
Eu a instalei através do Marketplace de 1 clique no DigitalOcean: Discourse | DigitalOcean Marketplace 1-Click App
A instância é Ubuntu 20.04.2 LTS
Temos suporte limitado para a instalação com 1 clique. Isso vem da DigitalOcean, não temos controle sobre isso. Apesar da DigitalOcean dizer “Suportado por: DigitalOcean”, a URL de Suporte envia as pessoas para cá, onde a equipe da DO não está. 
De qualquer forma, a primeira coisa que eu tentaria, para descartar um cenário de imagem base estranha, é conectar-se via SSH ao seu droplet e executar o seguinte:
cd /var/discourse
git pull
sudo ./launcher rebuild app
O último comando garantirá que você tenha a imagem base mais recente, bem como o código mais recente do Discourse. Aviso: ele deixará seu site fora do ar enquanto estiver em execução.
Em seguida, execute seu scanner novamente e veja o que ele relata.
Obrigado, Joshua,
Farei como você sugeriu e avisarei.
Algum feedback sobre os três NVT listados?
secure ausentehttpOnly ausenteNão estou familiarizado com NVTs. E o Google não está apresentando resultados promissores, veja Google Search como exemplo. O melhor que consigo são resultados no securityspace.com, um site que, estranhamente, não usa SSL/TLS e parece ter sido construído nos anos 90.
Sua plataforma de cibersegurança de terceiros fornece mais detalhes sobre os 3 NVTs além dos títulos?
Re: os dois primeiros:
Parece que a instância está configurada incorretamente e não percebe que está servindo via https.
SiteSetting.force_https = true pode resolver isso.
Re: o terceiro:
Esta é uma propriedade do host em que o Discourse está em execução e precisa ser corrigida lá.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
