Jetzt updaten: Die freie Foren-Software Discourse war aus der Ferne angreifbar. Die Entwickler haben die als kritisch eingestufte Sicherheitslücke geschlossen.
Admins, die auf ihren Servern die Open Source-Software Discourse zum Verwalten von Internetforen und Mailinglisten nutzen, sollten diese baldmöglich aktualisieren: Die Entwickler haben eine als kritisch eingestufte Sicherheitslücke geschlossen, die laut Beschreibung ohne vorherige Authentifizierung zur Codeausführung aus der Ferne (Remote Code Execution) hätte missbraucht werden können.
Der Eintrag zu CVE-2021-41163 in der National Vulnerability Database ordnet der Sicherheitslücke den CVSS-Score 9.8 von möglichen 10 zu. Sie fuße auf mangelhaften Validierungsmechanismen in "subscribe_url"-Werten und könne mittels eines speziell präparierten Requests angegriffen werden. In einem Sicherheitshinweis rät die US-Behörde CISA dringend zum Anwenden des Updates oder eines von den Entwicklern vorgeschlagenen Workarounds.
Technische Details zu CVE-2021-41163 sind einer detaillierten Beschreibung des Lücken-Entdeckers zu entnehmen. Zu Angriffen in freier Wildbahn ist bislang nichts bekannt.
Alternativ schlagen die Entwickler als Workaround die Nutzung eines Upstream-Proxies zum Blockieren von Requests, die mit dem Pfad "/webhooks/aws" beginnen, vor.
Quelle: heise
Admins, die auf ihren Servern die Open Source-Software Discourse zum Verwalten von Internetforen und Mailinglisten nutzen, sollten diese baldmöglich aktualisieren: Die Entwickler haben eine als kritisch eingestufte Sicherheitslücke geschlossen, die laut Beschreibung ohne vorherige Authentifizierung zur Codeausführung aus der Ferne (Remote Code Execution) hätte missbraucht werden können.
Der Eintrag zu CVE-2021-41163 in der National Vulnerability Database ordnet der Sicherheitslücke den CVSS-Score 9.8 von möglichen 10 zu. Sie fuße auf mangelhaften Validierungsmechanismen in "subscribe_url"-Werten und könne mittels eines speziell präparierten Requests angegriffen werden. In einem Sicherheitshinweis rät die US-Behörde CISA dringend zum Anwenden des Updates oder eines von den Entwicklern vorgeschlagenen Workarounds.
Technische Details zu CVE-2021-41163 sind einer detaillierten Beschreibung des Lücken-Entdeckers zu entnehmen. Zu Angriffen in freier Wildbahn ist bislang nichts bekannt.
Verwundbare Versionen, Update & Workaround
Laut Update-Hinweis der Discourse-Entwickler sind die aktuellen Stable-, Beta- und "tests-passed"-Versionen der Software abgesichert. Als verwundbar nennen sie Stable-Versionen bis einschließlich 2.7.8 sowie Beta und tests-passed bis inklusive 2.8.0.beta6. Aus Versionen ab 2.7.9 beziehungsweise 2.8.0.beta7 aufwärts wurde die Sicherheitslücke entfernt.Alternativ schlagen die Entwickler als Workaround die Nutzung eines Upstream-Proxies zum Blockieren von Requests, die mit dem Pfad "/webhooks/aws" beginnen, vor.
Quelle: heise
