Уязвимость компонента REST API агента сканирования RedCheck связана с отсутствием заголовка HTTP Strict-Transport-Security (HSTS). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаки типа человек по середине Man-in-the-middle (MITM), SSL Striping и пассивных перехватчиков типа Firesheep.
Использование рекомендаций:
Для версий до RedСheck 2.11 произвести переконфигурирование путем внесения изменений в конфигурационные файлы:
redcheck-api/redcheck-api-ssl.conf;redcheck-cleanup-service/redcheck-cleanup-service-ssl.conf;redcheck-client/redcheck-client-ssl.conf;httpd/redcheck-api-ssl.conf;httpd/redcheck-cleanup-service-ssl.conf;httpd/redcheck-client-ssl.conf
добавить строчку: Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains;".
Или установить версию RedCheck 2.12 или выше.
| Балл | 5 — средняя опасность |