AppSync : Le serveur HTTPS distant n’envoie pas l’en-tête HSTS (Strict-Transport-Security) HTTP. Vulnérabilité
Summary: Fausses alertes signalées par Tenable Nessus pour le port 8444 sur le serveur AppSync.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Tenable Nessus signale de manière incorrecte le message suivant pour le port 8444, pour lequel il n’existe aucune CVE :
The remote web server is not enforcing HSTS, as defined by RFC 6797. HSTS is an optional response header that can be configured on the server to instruct the browser to only communicate via HTTPS. The lack of HSTS allows downgrade attacks, SSL-stripping man-in-the-middle attacks, and weakens cookie-hijacking protections.
Cause
Un logiciel autre que Dell signale une fausse alarme de sécurité.
Resolution
Les ingénieurs AppSync ont confirmé qu’il s’agissait d’une fausse alerte et assurent aux clients que les API publiées par AppSync sur les ports 8444 ou 8445 sont protégées par l’activation de HSTS.
Additional Information
HTTP Strict Transport Security (HSTS) est une norme simple et largement prise en charge pour protéger les visiteurs en veillant à ce que leurs navigateurs se connectent toujours à un site Web via HTTPS.
Voici l’URL vers laquelle AppSync redirige, et qui utilise automatiquement HTTPS.
Voici l’URL vers laquelle AppSync redirige, et qui utilise automatiquement HTTPS.
Copyof URL address https: //AppSync01:8444/auth/realms/appsync/protocol/openid-connect/auth?client_id=appsync_ ...
Affected Products
AppSyncArticle Properties
Article Number: 000217002
Article Type: Solution
Last Modified: 18 Sept 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.