CVE-2021-41163として追跡されているDiscourseの重大なリモートコード実行(RCE)の脆弱性を修正する緊急アップデートがリリースされました。
Discourse は、オープンソースのフォーラム、長文チャット、メーリングリスト管理プラットフォームで、ソーシャル機能に重点を置きながら優れたユーザビリティと統合性を提供し、ウェブ上で広く展開されているものになります。
脆弱性があるのは2.7.8以降のバージョンで、リスクに対処するには2.7.9以降にアップデートするのが最善の方法となっています。また、最新のベータ版およびテスト版にも、この欠陥に対するパッチが適用されています。
公式統計によると、2021年9月だけで、4億500万人のユーザーが閲覧した350万件の投稿の公開にDiscourseが使用されています。
Discourseが広く使用されていることから、CISAもこの欠陥に関する警告を発表し、フォーラムの管理者に対して利用可能な最新のバージョンに更新するか、必要な回避策を適用するよう呼びかけています。
オープンソースのディスカッションプラットフォームであるDiscourseは、バージョン2.7.8以前のDiscourseに存在する重要なリモートコード実行(RCE)の脆弱性(CVE-2021-41163)に対処するため、セキュリティアドバイザリを公開しました。
CISAは、開発者に対してパッチの適用されたバージョン2.7.9以降にアップデートするか、必要な回避策を適用することを推奨しています。
この脆弱性は「subscribe-url」値の検証が行われていないことを利用して、悪意を持って作成されたリクエストを脆弱性のあるソフトウェアに送信することで発生するものです。
ユーザーが入力した内容で open() を呼び出すと、ウェブアプリが実行されている権限(通常は「www-data」(管理者))で OS のコマンドを呼び出すことができます。
CVE-2021-41163を悪用した場合、CVSS v3のスコアは10.0(重要)となりますので、緊急にパッチを当てる必要があります。
Shodanで検索したところ、8,641件のDiscourseがヒットしましたが、その多くはRCEの悪用の可能性があるようです。
最新のバージョンにアップデートできない場合は、上流のプロキシで「/webhooks/aws」で始まるパスを持つリクエストをブロックすることをお勧めします。
現時点では、この欠陥はまだ技術的な分析が行われていますが、発見した研究者はその技術的な詳細を公開しています。
この欠陥を発見した研究者は、2021年10月10日にすぐにDiscourseチームに問題を報告したと述べています。
Comments