AppSync:リモートHTTPSサーバーは、HTTP Strict-Transport-Security (HSTS)ヘッダーを送信しません。脆弱性
概要: AppSyncサーバーのポート8444について、Tenable Nessusによって誤ったアラートが報告される。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Tenable Nessusが、CVEが存在しないポート8444について、次のメッセージを誤って報告します。
The remote web server is not enforcing HSTS, as defined by RFC 6797. HSTS is an optional response header that can be configured on the server to instruct the browser to only communicate via HTTPS. The lack of HSTS allows downgrade attacks, SSL-stripping man-in-the-middle attacks, and weakens cookie-hijacking protections.
原因
Dell製以外のソフトウェアが、誤ったセキュリティ アラームを報告する。
解決方法
AppSyncエンジニアリングは、これが誤ったアラームであることを確認し、AppSyncが公開したポート8444または8445のAPIがHSTSを有効にして保護されていることをお客様に保証します。
その他の情報
HTTP Strict Transport Security (HSTS) は、ブラウザーが常に HTTPS 経由で Web サイトに接続することを保証することで、訪問者を保護するためのシンプルで広くサポートされている標準です
AppSyncがリダイレクトするURLは、自動的にHTTPSを使用します。
AppSyncがリダイレクトするURLは、自動的にHTTPSを使用します。
Copyof URL address https: //AppSync01:8444/auth/realms/appsync/protocol/openid-connect/auth?client_id=appsync_ ...
対象製品
AppSync文書のプロパティ
文書番号: 000217002
文書の種類: Solution
最終更新: 18 9月 2025
バージョン: 4
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。