AppSync: Der Remote-HTTPS-Server sendet den HTTP-Header Strict-Transport-Security (HSTS) nicht. Schwachstelle
Zusammenfassung: Falsche Warnmeldungen wurden von Tenable Nessus für Port 8444 auf dem AppSync-Server gemeldet.
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Tenable Nessus meldet fälschlicherweise die folgende Meldung für Port 8444, für den keine CVE vorhanden ist:
The remote web server is not enforcing HSTS, as defined by RFC 6797. HSTS is an optional response header that can be configured on the server to instruct the browser to only communicate via HTTPS. The lack of HSTS allows downgrade attacks, SSL-stripping man-in-the-middle attacks, and weakens cookie-hijacking protections.
Ursache
Software eines anderen Anbieters meldet einen falschen Sicherheitsalarm.
Lösung
AppSync Engineering bestätigte, dass es sich um einen Fehlalarm handelt, und versichert Kunden, dass von AppSync veröffentlichte APIs auf den Ports 8444 oder 8445 mit aktiviertem HSTS geschützt sind.
Weitere Informationen
HTTP Strict Transport Security (HSTS) ist ein einfacher, weit verbreiteter Standard zum Schutz von Besuchern, indem sichergestellt wird, dass ihre Browser immer eine Verbindung zu einer Website über HTTPS herstellen.
Hier ist die URL, an die AppSync umleitet, und die automatisch HTTPS verwendet.
Hier ist die URL, an die AppSync umleitet, und die automatisch HTTPS verwendet.
Copyof URL address https: //AppSync01:8444/auth/realms/appsync/protocol/openid-connect/auth?client_id=appsync_ ...
Betroffene Produkte
AppSyncArtikeleigenschaften
Artikelnummer: 000217002
Artikeltyp: Solution
Zuletzt geändert: 18 Sept. 2025
Version: 4
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.