AppSync: Vzdálený server HTTPS neodesílá hlavičku HTTP Strict-Transport-Security (HSTS). Zranitelnost

Zusammenfassung: Falešné výstrahy hlášené nástrojem Tenable Nessus pro port 8444 na serveru AppSync.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Symptome

Tenable Nessus nesprávně hlásí následující zprávu pro port 8444, pro který neexistuje CVE: 
The remote web server is not enforcing HSTS, as defined by RFC 6797. HSTS is an optional response header that can be configured on the server to instruct the browser to only communicate via HTTPS. The lack of HSTS allows downgrade attacks, SSL-stripping man-in-the-middle attacks, and weakens cookie-hijacking protections.

Ursache

Software jiného výrobce než společnosti Dell hlásí falešný bezpečnostní alarm.

Lösung

Společnost AppSync Engineering potvrdila, že se jedná o falešný poplach, a ujišťuje zákazníky, že publikovaná rozhraní API softwaru AppSync na portech 8444 nebo 8445 jsou chráněna s povolenou technologií HSTS.

Weitere Informationen

HTTP Strict Transport Security (HSTS) je jednoduchý, široce podporovaný standard pro ochranu návštěvníků tím, že zajišťuje, aby se jejich prohlížeče vždy připojovaly k webu přes HTTPS.

Zde je adresa URL, na kterou AppSync přesměrovává, a automaticky používá protokol HTTPS. 
Copyof URL address 
https:  //AppSync01:8444/auth/realms/appsync/protocol/openid-connect/auth?client_id=appsync_  ...

Betroffene Produkte

AppSync
Artikeleigenschaften
Artikelnummer: 000217002
Artikeltyp: Solution
Zuletzt geändert: 18 Sept. 2025
Version:  4
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.