米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月24日(米国時間)、「Critical RCE Vulnerability in Discourse |CISA」において、オープンソースのディスカッションプラットフォームである「Discourse」に重大な脆弱性が報告されており、対処するためのセキュリティアドバイザリがリリースされていることを伝えた。この脆弱性を悪用されると、リモートの攻撃者によって影響を受けたシステム上で任意のコードを実行される危険性がある。

  • オープンソースのディスカッションプラットフォーム「Discourse」

    オープンソースのディスカッションプラットフォーム「Discourse」

セキュリティアドバイザリは、GitHubリポジトリの次のページで公開されている。

CVE-2021-41163として追跡されているこの脆弱性は、アップストリームのaws-sdk-snsgemにおいてsubscribe_url値の検証が不足していることが原因によるもので、悪意を持って作成されたリクエストを送信することでリモートから任意のコードを実行できる可能性があるという。影響を受けるバージョンは以下の通りとなっている。

  • stable版 - バージョン2.7.8以前
  • beta版 - バージョン2.8.0.beta6以前
  • tests-passed版 - バーション2.8.0.beta6以前

それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避することができる。

  • stable版 - バージョン2.7.9
  • beta版 - バージョン2.8.0.beta7
  • tests-passed版 - バーション2.8.0.beta7

すぐにアップデートが適用できない場合は、「/webhooks/aws」で始まるパスを持つリクエストをアップストリームプロキシでブロックすることによっても、影響を回避できるという。

脆弱性の深刻度を表すCVSS v3のベーススコアは最高の10.0で、できるだけ早く対策を講じる必要がある。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティアドバイザリを確認した上で必要なアップデートを適用するか、アップデートできない場合には回避策を実施することを推奨している。