AppSync : Le serveur HTTPS distant n’envoie pas l’en-tête HSTS (Strict-Transport-Security) HTTP. Vulnérabilité
Zusammenfassung: Fausses alertes signalées par Tenable Nessus pour le port 8444 sur le serveur AppSync.
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Tenable Nessus signale de manière incorrecte le message suivant pour le port 8444, pour lequel il n’existe aucune CVE :
The remote web server is not enforcing HSTS, as defined by RFC 6797. HSTS is an optional response header that can be configured on the server to instruct the browser to only communicate via HTTPS. The lack of HSTS allows downgrade attacks, SSL-stripping man-in-the-middle attacks, and weakens cookie-hijacking protections.
Ursache
Un logiciel autre que Dell signale une fausse alarme de sécurité.
Lösung
Les ingénieurs AppSync ont confirmé qu’il s’agissait d’une fausse alerte et assurent aux clients que les API publiées par AppSync sur les ports 8444 ou 8445 sont protégées par l’activation de HSTS.
Weitere Informationen
HTTP Strict Transport Security (HSTS) est une norme simple et largement prise en charge pour protéger les visiteurs en veillant à ce que leurs navigateurs se connectent toujours à un site Web via HTTPS.
Voici l’URL vers laquelle AppSync redirige, et qui utilise automatiquement HTTPS.
Voici l’URL vers laquelle AppSync redirige, et qui utilise automatiquement HTTPS.
Copyof URL address https: //AppSync01:8444/auth/realms/appsync/protocol/openid-connect/auth?client_id=appsync_ ...
Betroffene Produkte
AppSyncArtikeleigenschaften
Artikelnummer: 000217002
Artikeltyp: Solution
Zuletzt geändert: 18 Sept. 2025
Version: 4
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.