Описание
Уязвимость компонента REST API агента сканирования RedCheck связана с отсутствием заголовка HTTP Strict-Transport-Security (HSTS). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаки типа человек по середине Man-in-the-middle (MITM), SSL Striping и пассивных перехватчиков типа Firesheep.
Вендор
АО «АЛТЭКС-СОФТ»
Наименование ПО
RedCheck
Версия ПО
до 2.12 (RedCheck)
до 2.12 (RedCheck)
до 2.12 (RedCheck)
до 2.12 (RedCheck)
до 2.12 (RedCheck)
Тип ПО
Средство защиты
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для версий до RedСheck 2.11 произвести переконфигурирование путем внесения изменений в конфигурационные файлы:
redcheck-api/redcheck-api-ssl.conf;redcheck-cleanup-service/redcheck-cleanup-service-ssl.conf;redcheck-client/redcheck-client-ssl.conf;httpd/redcheck-api-ssl.conf;httpd/redcheck-cleanup-service-ssl.conf;httpd/redcheck-client-ssl.conf
добавить строчку: Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains;".
Или установить версию RedCheck 2.12 или выше.
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
4.3 Medium
CVSS3
5 Medium
CVSS2
4.3 Medium
CVSS3
5 Medium
CVSS2