Привет!
У нас есть сторонняя платформа кибербезопасности, которая постоянно сканирует все наши домены на наличие уязвимостей. Мой сервер Discourse (версия 2.9.0.beta7), размещённый на DigitalOcean, сигнализирует о следующих NVT и CVE. Все CVE связаны с nginx. Не упустил ли я какой-то процесс обновления nginx? Буду признателен за любую помощь.
Привет!
Если только ваше базовое изображение каким-то образом не устарело (что не должно быть возможно — в этом случае обновление через интерфейс было бы заблокировано), Discourse не уязвим для указанных уязвимостей Nginx (CVE). Версию используемого Nginx можно посмотреть здесь: discourse_docker/image/base/install-nginx at main · discourse/discourse_docker · GitHub. Судя по данным с nginx security advisories, версии 1.21.0 и выше не подвержены перечисленным уязвимостям CVE.
Как вы установили Discourse? Следовали ли вы официальным инструкциям по установке? Есть ли перед вашим экземпляром какие-либо прокси-серверы?
Спасибо за быстрый ответ, Джошуа.
Перед экземпляром нет прокси.
Я установил его через одношаговый маркетплейс DigitalOcean: Discourse | DigitalOcean Marketplace 1-Click App
Экземпляр работает под управлением Ubuntu 20.04.2 LTS.
Итак, у нас есть ограниченная поддержка установки в один клик. Это обеспечивается DigitalOcean, и мы не можем на это повлиять. Несмотря на то, что DigitalOcean указывает «Поддержка от: DigitalOcean», ссылка на поддержку перенаправляет сюда, где сотрудников DO нет. 
В любом случае, первое, что я бы посоветовал сделать, чтобы исключить странную ситуацию с базовым образом, — это подключиться по SSH к вашему дроплету и выполнить следующие команды:
cd /var/discourse
git pull
sudo ./launcher rebuild app
Последняя команда гарантирует, что у вас установлена последняя версия базового образа, а также актуальный код Discourse. Внимание: во время выполнения этой команды ваш сайт будет недоступен.
Затем снова запустите сканер и посмотрите, что он покажет.
Спасибо, Джошуа.
Я поступлю, как вы предложили, и сообщу вам.
Есть ли какие-либо отзывы по трём перечисленным уязвимостям NVT?
securehttpOnlyЛично я не знаком с NVT. Поиск в Google тоже не даёт многообещающих результатов, например, по ссылке Google Search. Лучшие результаты я получаю на сайте securityspace.com, который, странно, сам не использует SSL/TLS и выглядит так, будто был создан в 90-х годах.
Предоставляет ли ваша платформа кибербезопасности сторонних разработчиков больше информации о трёх NVT, помимо заголовков?
Касательно первых двух:
Похоже, что инстанс настроен некорректно и не понимает, что работает через HTTPS.
Настройка SiteSetting.force_https = true может решить эту проблему.
Касательно третьего:
Это свойство хоста, на котором запущен Discourse, и его нужно исправить там.
