Problèmes connus et solutions de contournement

Voici les problèmes connus et leurs solutions de contournement.

Tableau 1. Problèmes connus et solutions de contournement
Problème Solution de contournement

S'il y a plus de 500 problèmes dans chaque catégorie lorsque vous effectuez un "Regroupement par" problèmes basés sur le Type de problème, la Gravité, le Scanneur ou l'État, nous n'affichons pas les problèmes supplémentaires et conseillons d'utiliser un filtre à la place. Les filtres sont également limités à l'affichage d'un maximum de 100 valeurs pour chaque type de colonne.

 Supprimez l'option "Regrouper par", puis triez les données en fonction du type de colonne que vous souhaitez utiliser pour afficher les résultats.
Les détails de la vue Composants ne peuvent pas être exportés ou importés depuis AppScan Enterprise ou AppScan Standard. Cependant, les composants vulnérables peuvent être exportés ou importés en tant que problèmes. S.O.
Les rapports de sécurité (xls, excel, xml ou PDF) n'afficheront aucun détail sur les composants. S.O.
L'exécution de l'assistant de configuration est le seul moyen de mettre à jour les enregistrements CVE. Les nouveaux CVE introduits après l'installation d'AppScan Enterprise ne seront pas identifiés pour les composants vulnérables. S.O.
Dans le journal d'activité, le filtre de date affiche les données pour un jour de plus que la plage de dates spécifiée. S.O.
Le calcul des retards n'est pas effectué pour les problèmes qui n'ont pas d'attributs CVSS 3.1 S.O.
Pour tous les problèmes analysés dans la version 10.1.0 ou antérieure et associés à une application, le filtre Version CVSS = 2.0 peut afficher à la fois les problèmes CVSS 2.0 et 3.1. Vous pouvez trier les problèmes en fonction de la colonne Version CVSS qui répertorie tous les problèmes CVSS 2.0 en premier en fonction de la version.

L'agent IAST .NET peut échouer à s'installer en tant que NuGet dans certaines applications .NET framework, avec une erreur “Impossible de résoudre la dépendance 'MonoModReorg.RuntimeDetour'”.

Avant d'installer l'agent IAST, installez le NuGet : 'MonoModReorg.RuntimeDetour', version 22.11.21-prerelease.2. Assurez-vous que la case pré-version dans l'onglet NuGet de Visual Studio est cochée. Vous pouvez maintenant installer l'agent IAST en tant que NuGet.
Impossible d'importer des groupes d'utilisateurs et d'enregistrer les propriétés utilisateur avec les valeurs correctes lorsque LDAP est configuré sur ASE, et que le scanneur et le serveur sont installés sur la même machine Relancez l'assistant de configuration en sélectionnant tous les composants applicables (Administration des utilisateurs/Console d'entreprise/IAST) dans la fenêtre Composants du serveur que vous avez sélectionnés précédemment lors de la configuration du serveur avec le scanneur d'analyse dynamique.
Le problème IAST avec une gravité « Information » affiche la version CVSS comme 2.0 au lieu de 3.1. Ignorez la version affichée et considérez la version comme 3.1 car IAST est un scanneur AppScan Enterprise.
Les alertes d'état de l'analyse ne sont pas envoyées à l'adresse e-mail configurée. Redémarrez le service d'alerte.
Lorsque vous effectuez une mise à niveau de la version 10.0.8 vers la version 10.1.0, le déploiement ou la connectivité de l'agent IAST java war échoue et il n'interagit pas avec AppScan Enterprise. Désactivez puis réactivez l'agent.
La réimportation de problèmes avec les profils de scanneur AppScan Mobile Analyzer et AppScan Mobile Analyzer IOS entraîne une erreur. Actualisez l'onglet Moniteur.
Le retest d'un problème peut entraîner le signalement de l'état du problème comme 'Corrigé' même si le problème n'est pas réellement corrigé. Si votre site nécessite une authentification, vous devez obligatoirement définir la connexion au niveau de l'analyse pour que le Retest fournisse un état de re-test correct.
Le retest du type de problème, "Exécution de commande à distance sur Spring MVC (CVE-2022-22965)", peut entraîner le signalement de l'état du problème comme 'Corrigé' au lieu de 'Réouvert' même si le problème n'est pas réellement corrigé. Il est recommandé d'exécuter une analyse complète de l'application pour confirmer si ce type de problème est corrigé.
Dans l'onglet Moniteur, les détails du problème ne s'affichent pas lorsque vous cliquez sur un problème. Au lieu de cela, le message d'erreur "CRWAS9999E Une erreur inconnue s'est produite." s'affiche. Ce problème se produit si le contenu textuel des détails du problème est volumineux. Accédez à <Rép install ASE>\AppScan Enterprise\Liberty\usr\servers\<instance serveur> et ajoutez la ligne -Xss1024m à jvm.options et redémarrez le service 'HCL AppScan Enterprise Server'.
Le service de l'agent affiche l'état 'Vérifier la licence'. Redémarrez le 'Service HCL AppScan Agent' sur la machine du scanneur.

Pour le proxy DAST, la session (In-session) n'est pas détectée automatiquement lorsque le trafic est enregistré à l'aide du navigateur Firefox.

 Ajoutez la session manuellement en sélectionnant l'URL de la page principale et en cliquant sur le bouton En session ou avant d'enregistrer le trafic, désactivez tout plugin Firefox qui crée beaucoup de trafic, par exemple, Clockify.
Suppression d'OWASP 2017 et prise en charge du rapport OWASP 2021 : tous les packs de rapports et modèles de packs de rapports créés avant la version 10.0.7 auront le rapport OWASP 2017. Si nécessaire, les utilisateurs doivent supprimer manuellement OWASP Top 10 2017 et ajouter OWASP Top 10 2021 au pack de rapports pour toutes les analyses existantes et exécuter le pack de rapports.
Dans la page de l'agent IAST, vous pouvez rencontrer un problème d'interface utilisateur comme suit :
Lorsque vous cliquez sur le bouton Générer la clé dans le menu déroulant Actions, il n'y a aucune réponse. Actualisez la page et réessayez.
Dans la fenêtre contextuelle de génération de clé, lorsque vous cliquez sur le bouton Générer, il n'y a aucune réponse. Ne cliquez pas plusieurs fois. Attendez environ une minute et s'il n'y a toujours pas de réponse, fermez la fenêtre contextuelle et réessayez.
Lorsque vous régénérez la clé pour l'agent Node.js, la taille du package peut augmenter. Cela peut être ignoré car cela fonctionne dans la majorité des cas.
Si l'agent Node.js téléchargé n'a pas la clé d'agent appropriée. Régénérez la clé de l'agent et téléchargez à nouveau l'agent.
Pour les problèmes SAST, lorsqu'une tâche importée est exécutée dans l'onglet Analyses, elle génère désormais des noms conviviaux pour les problèmes courants. L'onglet Moniteur continue d'utiliser l'ancien format de l'ID, par souci de cohérence avec les versions précédentes, et sera mis à jour à l'avenir avec le nom convivial. De ce fait, si vous utilisez la même application pour importer des données source directement dans l'onglet Moniteur, et liez la même application à une tâche d'importation Source exécutée dans l'onglet Analyses, vous pouvez remarquer certains problèmes classés sous différents types de problèmes (tels que Injection SQL, Cross Site Scripting). Si vous importez plusieurs problèmes SAST dans AppScan Enterprise, il est recommandé d'utiliser le même mécanisme pour tous : importez toutes les analyses dans l'onglet Moniteur ou exécutez toutes les tâches en tant que tâche d'importation dans l'onglet Analyses et liez-les à l'application. Il n'y a aucun impact sur la fonctionnalité ; ce problème affecte uniquement l'affichage.
Lorsque la langue de l'interface utilisateur d'AppScan Enterprise est définie sur une autre langue que l'anglais, les problèmes suivants peuvent être observés :
  • Dans la page Moniteur, lors de la navigation vers la page "À propos du problème" d'un problème d'analyse, les informations de Raisonnement sont toujours affichées en anglais.
  • Lorsque la langue de l'interface utilisateur est définie sur Espagnol, le lien de l'API de référence et le contenu du rapport Comment corriger sont affichés en anglais.
  • Lorsque vous sélectionnez une langue différente et exportez des problèmes depuis l'onglet Moniteur, le nom du Type de problème est affiché en anglais.
  • En passant à une langue différente, le Comment corriger (contenu dans un langage de programmation différent) dans l'onglet Analyses est affiché dans la langue précédente.
  • Les fichiers ase_plan.pdf et Readme ne sont pas traduits.
 Toute modification des paramètres de langue n'a aucun impact sur la fonctionnalité de l'interface utilisateur, sauf que ces informations seront disponibles en anglais. Par conséquent, il est recommandé de continuer à utiliser la fonctionnalité jusqu'à ce que ces problèmes soient résolus dans les versions ultérieures.
Lorsqu'un utilisateur a configuré le Comment corriger sur un port qui est déjà utilisé, alors depuis l'interface utilisateur, l'utilisateur ne verra pas de message d'erreur approprié en essayant d'accéder aux détails du Problème et d'accéder au lien Comment corriger. Relancez l'assistant de configuration en pointant le Comment corriger vers un port différent.
Si un utilisateur télécharge un fichier de Tests définis par l'utilisateur dans l'interface utilisateur ASE, un message d'erreur s'affichera : Erreur de connexion au serveur de service de conseil. Le fichier UDT s'importera avec succès dans AppScan Enterprise. Mais l'utilisateur ne verra pas les informations "Comment corriger" des ID de type de problème UDT dans l'interface utilisateur OU les rapports.
Pour voir les informations xml "Comment corriger" pour les ID de type de problème UDT :
  1. Accédez au chemin du dossier <Rép install ASE>\AppScan Enterprise\CustomAdvisory\advisories\archives puis extrayez le fichier zip du nom de type de problème UDT correspondant (Exemple : UserDefined_UDT1.zip).
  2. L'utilisateur peut voir le fichier xml Comment corriger/Informations de conseil (Exemple : UserDefined_UDT1.xml) dans le chemin du dossier <Rép install ASE>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US.
Lorsque vous modifiez un dossier depuis la page Scans sans apporter de modifications aux autorisations du dossier et cliquez sur le bouton Enregistrer, cela crée une entrée dans la table ActivityLog avec une action marquée comme 3. L'action 3 indique que le dossier est modifié. Vous devez cliquer sur le bouton Annuler pour quitter la page si vous n'avez pas modifié les autorisations du dossier.
Le nom de domaine n'est pas exclu du fichier de trafic généré par l'outil Postman ou SoapUI via l'intégration du client ADAC (fichier au format .exd) en utilisant l'API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} Vous devez utiliser le fichier .dast, .config ou .har pour exclure le trafic d'un domaine du fichier de trafic.
La tâche d'analyse échoue lors de la modification de l'autorisation utilisateur du compte de service AppScan Enterprise sous Windows. Vous devez ajouter l'utilisateur du compte de service au groupe d'administrateurs Windows sur les machines serveur AppScan Enterprise et Scanneur.
Le check-in de la licence du scanneur HCL ne se produit pas immédiatement lorsque le processus du service AppScan Agent est tué via le Gestionnaire des tâches. Il faudra environ 15 minutes pour que les licences soient libérées. Il est recommandé de démarrer et d'arrêter à nouveau l'Agent via les services pour libérer les licences.
Si les utilisateurs ne sont pas déconnectés avant l'arrêt du serveur AppScan Enterprise, les sessions ouvertes peuvent empêcher les licences d'être réintégrées dans le pool. Ces licences laissées pour compte ne seront réintégrées qu'après 2 heures. Les utilisateurs doivent se déconnecter avant l'arrêt du serveur AppScan Enterprise.
Pendant l'installation d'AppScan Enterprise, l'installation de Visual C++ 2015 échoue si une version supérieure de Microsoft Visual C++ Redistributable 2017 est déjà installée sur le système car l'application tente d'installer Visual C++ 2015 Redistributable sans vérifier l'existence des versions plus récentes déjà présentes sur le système. Désinstallez le Visual C++ 2017 RC Redistributable, installez AppScan Enterprise et réinstallez le Visual C++ 2017 Redistributable.
L'aide en ligne du produit est disponible dans toutes les langues, cependant les liens connexes ne sont disponibles qu'en japonais, français, chinois simplifié et traditionnel. S.O.
Si la taille du fichier journal étendu est importante (supérieure à 2 Go), l'opération de téléchargement du fichier journal depuis le rapport sommaire de l'onglet Scan peut parfois résulter en un fichier zip de 0 Ko. Dans de tels cas, copiez le fichier depuis le répertoire Logs dans le serveur AppScan Enterprise Agent.
Lorsque vous modifiez une analyse dans le Client de configuration d'analyse dynamique, assurez-vous que l'analyse que vous modifiez n'est pas en cours d'exécution dans AppScan Enterprise ; sinon, cela pourrait suspendre la tâche lorsque vous mettez à jour l'analyse. Sur la page Propriétés de la tâche du client, décochez la case Exécuter la tâche dès que possible et puis cliquez sur Mettre à jour la tâche.
Lorsqu'une tâche d'analyse n'a que la connexion enregistrée (pas d'exploration manuelle ou d'URL de départ), l'analyse ne s'étendra pas au-delà de cette page. Ajoutez au moins une URL à l'Exploration manuelle ou à l'URL de départ de la page Quoi analyser.
Il existe un risque de dégradation des performances et de résultats faussement négatifs lorsque le pare-feu est déployé entre les Agents et le site web analysé. Le serveur AppScan Enterprise envoie des tests de sécurité que certains produits pare-feu pourraient signaler comme une activité réseau suspecte.
Si les règles de normalisation définies par l'utilisateur aboutissent à une chaîne d'URL vide, il existe un risque que l'analyse ne se termine pas. Lorsque des règles de normalisation sont définies dans les Propriétés de la tâche, il est important de s'assurer qu'elles aboutissent à une URL valide.
Si la gestion des problèmes a été effectuée sur les rapports, le rapport sommaire du pack de rapports ne sera pas synchronisé avec les données du rapport. Le pack de rapports doit être réexécuté pour synchroniser les chiffres une fois les tâches de gestion des problèmes terminées.
Les rapports supprimés ne sont pas immédiatement retirés du tableau de bord. Le tableau de bord doit être réexécuté pour que la modification prenne effet.
Lors du tri des listes, l'ordre de classement peut ne pas fonctionner comme prévu pour les langues Japonaise et Chinoise. Les classements .NET et SQL sont utilisés, tout comme les classements spécifiques aux paramètres régionaux, mais le produit n'est pas conforme à ICU.

Le blackout de tâche ADAC ne fonctionne pas pour les tâches créées avant la version 9.0.3.11 tant qu'une sauvegarde de modification n'est pas effectuée sur la tâche.

Cause première : Il y avait un problème dans l'application où l'URL de départ n'était pas mise à jour dans la base de données ASE pour une tâche ADAC. Comme le blackout lit le domaine depuis la base de données ASE, cela empêchait le blackout de fonctionner pour les tâches ADAC. Comme l'URL de départ est stockée dans le fichier dast.config, les tâches existantes devront être modifiées et enregistrées manuellement pour que l'URL soit stockée dans la base de données ASE.
  1. Modifiez une tâche ADAC (Créée avant la version 9.0.3.11).
  2. Effectuez une mise à jour de la tâche.
  3. Le blackout devrait fonctionner comme configuré (de la même manière que la tâche d'analyse de contenu).

Après avoir exécuté une analyse dans AppScan Standard et exporté les résultats sous forme de fichier XML hérité pour une utilisation dans AppScan Enterprise, lors de l'utilisation de ce fichier XML, il a été exécuté en tant que tâche importée. Celle-ci a ensuite été associée à une application dans AppScan Enterprise. Cependant, le rapport de sécurité généré n'inclut pas les URL visitées, malgré leur disponibilité dans le rapport original AppScan Standard.

 S.O.

Bien que les fichiers chiffrés AppScan Activity Recorder (AAR) puissent être importés à l'aide des API REST AppScan Enterprise. Dans les tâches d'analyse de contenu, ils ne sont pas pris en charge si une tentative est faite directement via l'interface utilisateur du Client d'analyse dynamique AppScan (ADAC).

 Méthode 1 : Utilisez les API REST AppScan pour l'importation de fichiers chiffrés :

Utilisez les API REST AppScan (POST /jobs/{jobId}/dastconfig/updatetraffic/{action}) pour importer des fichiers chiffrés. Cette méthode contourne les limitations de l'interface utilisateur et permet des importations réussies dans AppScan-ADAC, permettant aux analyses de fonctionner correctement.

Méthode 2 : Envisagez des méthodes d'enregistrement alternatives :

Pour les scénarios où des séquences de connexion chiffrées sont nécessaires, envisagez d'utiliser l'enregistrement ADAC au lieu d'AAR lors de l'exécution de tâches ADAC. L'enregistrement ADAC pourrait offrir plus de flexibilité sans rencontrer les limitations liées au chiffrement observées avec les téléchargements AAR.
Dans la version 10.4.0 d'AppScan Enterprise, les rapports de sécurité générés aux formats PDF, HTML ou XML affichent la même cause générique pour chaque problème de composant vulnérable, quel que soit l'ID CVE (Common Vulnerabilities and Exposures) spécifique qui lui est associé. S.O.
La mise à niveau d'ADAC v10.5.0 ou v10.5.1 vers une version plus récente directement depuis le serveur ASE échoue lorsque le certificat SSL sur le serveur ASE est invalide (expiré, non approuvé). Cela se produit car ADAC 10.5.0 et 10.5.1 appliquent une sécurité plus stricte et bloquent les téléchargements avec des certificats invalides.

Le correctif pour ce problème est inclus dans la version ADAC 10.6 et ultérieure. La mise à niveau vers ADAC 10.6 ou ultérieure résoudra le problème :

  1. Téléchargez la dernière version d'ADAC (10.6 ou ultérieure) depuis FNO.
  2. Installez la version ADAC téléchargée sur la machine cible.
Remarque :
  • Cette solution de contournement s'applique uniquement aux situations où le certificat SSL sur le serveur ASE est invalide.
  • Les utilisateurs disposant de certificats SSL valides sur leurs serveurs ASE ne sont pas affectés par ce problème.
Lors de l'utilisation de Windows Server 2016 avec TLS 1.2, OLEDB ne fonctionne pas correctement. Ce problème empêche les utilisateurs de maintenir des connexions sécurisées avec TLS 1.2.

Pour résoudre ce problème, installez le client SQL Native sur la machine. Vous pouvez télécharger le client SQL Native à partir du lien suivant :

Télécharger SQL Native Client

Informations supplémentaires :
  • Les utilisateurs peuvent revenir à TLS 1.1 comme mesure temporaire si la fonctionnalité OLEDB est requise sur Windows Server 2016.
  • Pour ceux qui préfèrent utiliser TLS 1.2, la mise à niveau vers Windows Server 2019 est recommandée.
Dans AppScan Enterprise v10.6.0, le vecteur CVSS (Common Vulnerability Scoring System) ne sera affiché qu'en anglais. Le vecteur ne sera pas visible pour les interfaces utilisateur non anglaises. S.O.
Les analyses OpenAPI basées sur le modèle d'AppScan Standard ne sont pas prises en charge dans AppScan Enterprise. Créez des analyses OpenAPI dans AppScan Enterprise à partir d'AppScan Standard via AppScan Connect.
Dans le fichier d'exportation XLS, les sections "Gravité du problème (Max) par unité commerciale" et "Cote de risque de sécurité par unité commerciale" affichent tous les comptes d'applications filtrés pour chaque unité commerciale (BU) au lieu du compte d'applications réel. S.O.
Cliquer sur un lien sur le tableau de bord avec des données filtrées ne reporte pas le filtre sur l'onglet Portefeuille. Par conséquent, l' onglet Portefeuille affiche toutes les applications avec l'état correspondant, au lieu des seules applications filtrées. Les utilisateurs doivent filtrer manuellement les applications à partir de la section filtre de l'onglet Portefeuille.
Les détails du problème SCA ne sont pas affichés lors de l'importation de problèmes SCA d'AppScan on Cloud vers AppScan Enterprise. Contactez le support L2 AppScan Enterprise pour recevoir le correctif.
Dans les rapports PDF, l'attribut Fichier : ou URL : est manquant. Cet attribut est également absent dans les fichiers XML exportés, ce qui fait qu'il ne s'affiche pas dans les rapports PDF ou HTML. Ce problème est présent dans la version AppScan Enterprise 10.6.0. Actuellement, il n'existe aucun correctif immédiat disponible. Des modifications au niveau du schéma sont nécessaires pour résoudre ce problème. Cependant, un nouveau scanneur pour l'analyse de la composition logicielle (SCA) sera introduit dans la prochaine version, ce qui résoudra ce problème.
Les packs de rapports de tâche DAST peuvent ne pas s'afficher correctement après l'achèvement. Actualisez la page et rouvrez le pack de rapports. Cela résout généralement le problème lors de la deuxième tentative.
Lors de la mise à niveau vers AppScan Enterprise v10.8.0 avec une base de données volumineuse, l'assistant de configuration peut prendre plus de temps que d'habitude pour se terminer en raison de la mise à jour des modèles par défaut. Cependant, le processus se terminera avec succès de lui-même. Les nouvelles installations se déroulent dans les délais prévus. Aucune solution de contournement n'est disponible et un correctif est prévu pour une future version. S.O.
Lorsqu'un nom d'application contient des caractères spéciaux, tels que "IAST-(InternalScan)", le nombre de problèmes dans l'onglet Agents IAST ne s'affiche pas correctement. Cela inclut les nombres de problèmes manquants pour différents niveaux de gravité, et d'autres détails liés à l'agent ne sont pas non plus affichés comme prévu. S.O.
Parfois, lorsque le fichier de licence MHS est utilisé dans l'assistant de configuration du serveur, une erreur de validation de licence peut se produire. Cette erreur se produit lors de la tentative de configuration de composants tels que l'administration des utilisateurs, la console d'entreprise ou le scanneur d'analyse dynamique. Cliquez sur le bouton Retour et revenez à l'écran de licence pour procéder à la configuration.
Lors de l'utilisation du point de terminaison de l'API get /license/decryptedData, le corps de la réponse affiche une date d'expiration null pour les licences perpétuelles. Il s'agit d'un problème car les licences perpétuelles ne devraient pas avoir de date d'expiration, mais l'API renvoie incorrectement null au lieu d'indiquer que l'expiration n'est pas applicable. S.O.
Lors de la tentative de connexion au serveur AppScan Enterprise à l'aide de l'option Certificat côté client ou Carte à puce depuis le client d'analyse dynamique AppScan (ADAC) lorsqu'il est lancé indépendamment, la connexion échoue avec le message d'erreur :

Échec de la connexion au serveur AppScan Enterprise.

 Lancez ADAC depuis la console du navigateur AppScan Enterprise au lieu de le lancer indépendamment.
Après la désinstallation d'AppScan Enterprise v10.9.1, vous ne pouvez pas supprimer certains fichiers et dossiers du répertoire d'installation, même avec des privilèges d'administrateur. Un message d'erreur indique que les fichiers sont utilisés par le processus javawe.exe. Redémarrez la machine une fois la désinstallation terminée. Vous pouvez ensuite supprimer la structure de dossiers restante.
Les rapports PDF générés à partir de l'API Get/issues/{jobId} présentent les problèmes d'affichage suivants :
  • L'attribut Score CVSS apparaît sans score. Ce score n'est calculé que lorsqu'un problème est associé à une application dans la page Moniteur.
  • L'attribut URL affiche 'S.O.' au lieu d'être masqué. Le nom du rapport, la description du rapport et les attributs du problème ne sont pas traduits.
  • Ils apparaissent toujours en anglais, quelle que soit la langue sélectionnée dans l'interface utilisateur.
 S.O.