您好,
我们有一个第三方网络安全平台,它会不断扫描我们所有域名的漏洞。我托管在 DigitalOcean 上的 Discourse 服务器(运行 2.9.0.beta7 版本)标记了以下 NVTs 和 CVE。所有 CVE 都与 nginx 相关。我是否遗漏了更新 nginx 的某个流程?感谢您的任何帮助。
你好!
除非你的基础镜像已过时(这不可能,如果过时,你将无法通过 UI 进行更新),否则 Discourse 不会受到那些 nginx CVE 的影响。你可以在 discourse_docker/image/base/install-nginx at main · discourse/discourse_docker · GitHub 查看使用的 Nginx 版本,查看 nginx security advisories 可知 1.21.0+ 不受所列 CVE 的影响。
你是如何安装 Discourse 的?你是否遵循了官方安装说明?你的实例前面有代理吗?
感谢您快速回复 Joshua,
实例前面没有代理。
我是通过 DigitalOcean 上的“一键市场”安装的:Discourse | DigitalOcean Marketplace 1-Click App
该实例是 Ubuntu 20.04.2 LTS
1 个赞
我们对“一键安装”的支持是有限的。这是由 DigitalOcean 提供的,我们无法控制。尽管 DigitalOcean 说“支持者:DigitalOcean”,但支持 URL 会将用户导向此处,而 DO 的员工并不在此处。
无论如何,为了排除奇怪的基础镜像问题,我首先会尝试 SSH 登录到您的 droplet,然后运行以下命令:
cd /var/discourse
git pull
sudo ./launcher rebuild app
最后一个命令将确保您拥有最新的基础镜像以及最新的 Discourse 代码。**警告,**运行此命令期间您的网站将无法访问。
然后重新运行您的扫描器,看看它报告了什么。
3 个赞
谢谢你,Joshua,
我会按你建议的做,然后告诉你结果。
对列出的三个 NVT 有什么反馈吗?
- SSL/TLS:缺少
secureCookie 属性 - 缺少
httpOnlyCookie 属性 - TCP 时间戳
我对NVT不太熟悉。而且谷歌搜索的结果并不理想,例如请看 Google Search 。我找到的最好信息来自securityspace.com,这个网站奇怪的是它本身不使用SSL/TLS,看起来像是90年代的产物。
你们的第三方网络安全平台是否提供了除标题之外的关于这3个NVT的更多详细信息?
1 个赞
回复:前两个:
看起来实例配置不当,没有意识到它正在通过 HTTPS 提供服务。
SiteSetting.force_https = true 可能会解决此问题。
回复:第三个:
这是 Discourse 运行所在主机的一个属性,需要在那里修复。
4 个赞
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.