Dell Unity : HSTS manquant dans le corrigible de l’utilisateur du serveur HTTPS

Un analyseur de failles de sécurité signale des HSTS manquants sur les serveurs HTTPS sur une baie Dell Unity exécutant Dell Unity OE version 4.2.1.9535982 ou supérieure.

Il peut s’agir d’une erreur de scanner de type faux positif.

À compter de la révision 4.2.1 de l’environnement d’exploitation (OE) Dell Unity, Unity inclut HSTS sur les ports 443, 8443 et 8444.  

À compter de la révision 5.3 de Dell Unity OE, Unity inclut des améliorations HSTS sur le port 5989. Toutefois, un programme d’analyse signale toujours le port comme une vulnérabilité.

Il existe une solution de contournement pour désactiver le port 5989 sur Unity. Dell déconseille cette méthode et suggère vivement de procéder à la modification du réseau externe. Si l’accès au port 5989 (c’est-à-dire pour placer Unity derrière un pare-feu) doit être bloqué), Dell peut désactiver le port 5989. Vous devez contacter le support technique Dell pour effectuer cette modification. Contactez le support technique Dell ou votre prestataire de services agréé en leur communiquant l’identifiant de cet article de la base de connaissances Dell.

Pour plus d’informations sur les ports utilisés dans la sécurité Unity, rendez-vous sur le site de support Dell et recherchez le « Guide de configuration de la sécurité ».  Recherchez ce document : Guide de configuration de la sécurité de la gamme Dell Unity

HTTP Strict Transport Security (HSTS) est un en-tête de réponse HTTP lié à la sécurité, qui indique aux navigateurs clients d’accéder au site uniquement via une connexion HTTPS. Cela indique au navigateur d’appliquer cette restriction au lieu de s’appuyer uniquement sur les redirections côté serveur. L’en-tête HTTP Strict Transport Security permet de réduire l’exploitation réussie des attaques de l’intercepteur qui sont utilisées pour espionner ou interagir avec les sessions client.

Une solution de contournement permet à Unity, UEMCLI et Unisphere de fonctionner avec le service de gestion en interne sur le port 5989. Cette modification désactive la connexion sur le port 5989 à partir de postes de travail ou de serveurs externes. Toutefois, le support technique Dell doit mettre en œuvre cette solution de contournement, car elle n’est pas disponible pour les mesures correctives du client. Contactez le support technique Dell ou votre prestataire de services agréé en leur communiquant l’identifiant de cet article de la base de connaissances Dell.

Remarque importante :

• Ces modifications doivent être apportées aux deuxprocesseurs de stockage (SP) Unity, sinon la configuration sera perdue après un basculement du service de gestion (arrêt, redémarrage, etc.)
• Ces modifications sont remplacées lors de l’exécution d’une mise à niveau du code Unity OE. Une fois la baie mise à niveau pour, ces modifications doivent être reconfigurées, si les modifications doivent être maintenues.