Problèmes connus et solutions

Vous trouverez ci-après les problèmes connus et les solutions palliatives.

Table 1. Problèmes connus et solutions
Problème Solution palliative

Si vous avez plus de 500 problèmes dans chaque catégorie lorsque vous <uicontrol>Grouper par</uicontrol> problèmes en fonction de <uicontrol>IssueType</uicontrol>, <uicontrol>Severity</uicontrol>, <uicontrol>Scanner</uicontrol> ou <uicontrol>Status</uicontrol>, nous n'affichons pas les problèmes supplémentaires et conseillons d'utiliser un filtre à la place. Les filtres sont également limités à n'afficher que jusqu'à 100 valeurs de chaque type de colonne.

 Supprimez l'option <uicontrol>Grouper par</uicontrol>, puis triez les données en fonction du type de colonne que vous souhaitez utiliser pour afficher les résultats.
Les détails de la vue des composants ne peuvent pas être exportés ou importés depuis AppScan Enterprise ou AppScan Standard. Cependant, les composants vulnérables peuvent être exportés ou importés en tant que problèmes. S/O
Les rapports de sécurité (xls, excel, xml ou PDF) n'afficheront aucun détail des composants. S/O
Exécuter l'assistant de configuration est le seul moyen de mettre à jour les enregistrements CVE. Les nouveaux CVE introduits après l'installation d'AppScan Enterprise ne seront pas identifiés pour les composants vulnérables. S/O
Dans le journal d'activité, le filtre de date affiche les données pour un jour supplémentaire par rapport à la plage de dates spécifiée. S/O
Le calcul des retards n'est pas effectué pour les problèmes qui n'ont pas d'attributs CVSS 3.1 S/O
Pour tous les problèmes qui ont été analysés dans la version 10.1.0 ou antérieure et associés à une application, le filtre <uicontrol>CVSS Version = 2.0</uicontrol> peut afficher à la fois les problèmes CVSS 2.0 et 3.1. Vous pouvez trier les problèmes en fonction de la colonne <uicontrol>CVSS Version</uicontrol> qui répertorie d'abord tous les problèmes CVSS 2.0 en fonction de la version.

L'agent IAST .NET pourrait échouer à s'installer en tant que NuGet dans certaines applications du framework .NET, avec une erreur « Impossible de résoudre la dépendance 'MonoModReorg.RuntimeDetour' ».

Avant d'installer l'agent IAST, installez le NuGet : 'MonoModReorg.RuntimeDetour', version 22.11.21-prerelease.2. Assurez-vous que la case à cocher pré-version dans l'onglet NuGet de Visual Studio est sélectionnée. Vous pouvez maintenant installer l'agent IAST en tant que NuGet.
Impossible d'importer des groupes d'utilisateurs et d'enregistrer les propriétés des utilisateurs avec les valeurs correctes lorsque LDAP est configuré sur ASE, et lorsque le scanner et le serveur sont installés sur la même machine Relancez l'assistant de configuration en sélectionnant tous les composants applicables (Administration des utilisateurs/Console d'entreprise/IAST) dans la fenêtre des composants du serveur que vous avez sélectionnée précédemment lors de la configuration du serveur avec le scanner d'analyse dynamique.
Le problème IAST avec une gravité de 'Information' affiche la version CVSS comme 2.0 au lieu de 3.1. Ignorez la version affichée et considérez la version comme 3.1 puisque IAST est un scanner AppScan Enterprise.
Les alertes de statut de scan ne sont pas envoyées à l'adresse e-mail configurée. Redémarrez le service d'alerte.
Lorsque vous effectuez une mise à niveau de 10.0.8 à 10.1.0, le déploiement ou la connectivité de l'agent java IAST échoue et il n'interagit pas avec AppScan Enterprise. Désactivez puis réactivez l'agent.
La réimportation des problèmes avec Appscan Mobile Analyzer et les profils de scanner IOS d'AppScan Mobile Analyzer entraîne une erreur. Actualisez l'onglet de surveillance.
Le retest d'un problème peut entraîner le signalement du statut du problème comme étant "Corrigé", même si le problème ne l'est pas réellement. Si votre site requiert une authentification, vous devez définir la connexion obligatoirement au niveau de l'examen pour retester afin de fournir un statut de retest correct.
Le retest d'un type de problème, "Exécution de commande à distance sur Spring MVC (CVE-2022-22965)", peut entraîner le signalement du statut du problème comme étant "Corrigé" au lieu de "Rouvert", même si le problème n'est pas réellement corrigé. Il est recommandé d'exécuter un examen complet de l'application pour confirmer que ce type de problème est corrigé.
Dans l'onglet Surveillance, les détails du problème ne s'affichent pas lorsque vous cliquez sur un problème. A la place, le message d'erreur "CRWAS9999E Une erreur inconnue s'est produite." s'affiche. Ce problème se produit si le contenu du texte des détails du problème est volumineux. Accédez à <ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> et ajoutez la ligne -Xss1024m à jvm.options et redémarrez le service "HCL AppScan Enterprise Server".
Le service d'agent affiche le statut "Vérifier la licence". Redémarrez "HCL AppScan Agent Service" sur le scanner.

Pour le proxy DAST, En session n'est pas détecté automatiquement lorsque le trafic est enregistré à l'aide du navigateur Firefox.

 Ajoutez En session manuellement en sélectionnant l'URL de la page principale et en cliquant sur le bouton En session ou avant d'enregistrer le trafic, désactivez tout plug-in Firefox qui crée beaucoup de trafic, par exemple, Clockify.
Suppression de OWASP 2017 et prise en charge du rapport OWASP 2021 : Tous les packs de rapports et modèles de packs de rapports créés avant 10.0.7 auront le rapport OWASP 2017. Si nécessaire, les utilisateurs doivent supprimer manuellement OWASP Top 10 2017 et ajouter OWASP Top 10 2021 au groupe de rapports pour tous les examens existants, puis exécuter le groupe de rapports.
Dans la page de l'agent IAST, vous pouvez rencontrer un problème d'interface utilisateur comme suit :
Lorsque vous cliquez sur le bouton Générer une touche dans la liste déroulante Actions, il n'y a pas de réponse. Actualisez la page et réessayez.
Dans la fenêtre en incrustation Générer une clé, lorsque vous cliquez sur le bouton Générer, il n'y a pas de réponse. Ne cliquez pas plusieurs fois. Attendez environ une minute et toujours s'il n'y a pas de réponse, fermez la fenêtre en incrustation et réessayez.
Lorsque vous régénérez la clé pour l'agent Node.js, la taille du package peut augmenter. Cela peut être ignoré, car cela fonctionne dans la plupart des cas.
Si l'agent Node.js téléchargé ne dispose pas de la clé d'agent appropriée. Régénérez la clé d'agent et téléchargez à nouveau l'agent.
Pour les problèmes SAST, lorsqu'un travail importé est exécuté dans l'onglet Examens, il génère désormais des noms conviviaux pour les problèmes courants. L'onglet Monitor continue d'utiliser l'ancien format de l'ID, pour assurer la cohérence avec les versions précédentes, et sera mis à jour à l'avenir avec le nom convivial. En raison de cela, si vous utilisez la même application pour importer des données sources directement dans l'onglet Monitor, et liez la même application à un travail d'importation de source exécuté dans l'onglet Scans, vous pouvez remarquer certains problèmes classés sous différents types de problèmes (tels que Injection SQL, Cross Site Scripting). Si vous importez plusieurs problèmes SAST dans AppScan Enterprise, il est recommandé d'utiliser le même mécanisme pour tous : soit importer tous les scans dans l'onglet Monitor, soit exécuter tous les travaux en tant que travail d'importation dans l'onglet Scans et les lier à l'application. Il n'y a aucun impact sur la fonctionnalité ; ce problème affecte uniquement l'affichage.
Lorsque la langue de l'interface utilisateur d'AppScan Enterprise est définie sur une autre langue que l'anglais, les problèmes suivants peuvent être observés :
  • Dans la page Surveillance, lorsque vous naviguez jusqu'à la page "A propos du problème" d'un problème d'examen, les informations sur le raisonnement sont toujours affichées en anglais.
  • Lorsque la langue de l'interface utilisateur est définie sur Espanola (espagnol), le lien de l'API de référence et le contenu du rapport Comment résoudre le problème sont affichés en anglais.
  • Lorsque vous sélectionnez une langue différente et exportez des problèmes depuis l'onglet Monitor, le nom de l'IssueType est affiché en anglais.
  • Lors du passage à une autre langue, l'onglet Comment corriger (contenu de langage de programmation différent) dans l'onglet Examens s'affiche dans la langue précédente.
  • Les fichiers ase_plan.pdf et Readme ne sont pas traduits.
 Toute modification des paramètres de langue n'a aucune incidence sur la fonctionnalité de l'interface utilisateur, sauf que ces informations seront disponibles en anglais. Par conséquent, il est recommandé de continuer à utiliser la fonctionnalité jusqu'à ce que ces problèmes soient résolus dans les éditions suivantes.
Lorsqu'un utilisateur a configuré un port déjà utilisé pour « Comment corriger », l'utilisateur ne verra pas le message d'erreur approprié dans l'interface utilisateur lorsqu'il tentera d'accéder aux détails du problème et au lien « Comment corriger ». Relancez l'assistant de configuration en pointant le Comment réparer vers un port différent.
Étant donné qu'un utilisateur télécharge un fichier de tests définis par l'utilisateur dans l'interface ASE, un message d'erreur s'affichera : Erreur de connexion au serveur de service de conseil. Le fichier UDT sera importé avec succès dans AppScan Enterprise. Cependant, l'utilisateur ne verra pas les informations "Comment corriger" des issueTypeIds de l'UDT dans l'interface utilisateur ni dans les rapports.
Pour afficher les informations xml « Comment corriger » pour les issueTypeIds de l'UDT, procédez comme suit :
  1. Naviguez vers <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives chemin du dossier puis extrayez le fichier zip correspondant au nom de type de problème UDT (Exemple : UserDefined_UDT1.zip).
  2. L'utilisateur peut voir le fichier d'information Comment Réparer/Conseil xml (Exemple : UserDefined_UDT1.xml) dans le chemin du dossier <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US.
Lorsque vous modifiez un dossier depuis la page de <uicontrol>Scan</uicontrol> sans apporter de modifications aux autorisations du dossier et que vous cliquez sur le bouton <uicontrol>Enregistrer</uicontrol>, cela crée une entrée dans la table <uicontrol>ActivityLog</uicontrol> avec l'action marquée comme 3. L'action 3 indique que le dossier est modifié. Vous devez cliquer sur le bouton Annuler pour quitter la page si vous n’avez pas modifié les autorisations de dossier.
Le nom de domaine n'est pas exclu du fichier de trafic généré par l'outil <uicontrol>Postman</uicontrol> ou <uicontrol>SoapUI</uicontrol> via l'intégration du client <uicontrol>ADAC</uicontrol> (fichier au format .exd) en utilisant l'API <uicontrol>POST/jobs/{jobId}/dastconfig/updatetraffic/{action}</uicontrol>. Vous devez utiliser le fichier .dast, .config ou .har pour exclure le trafic d'un domaine du fichier de trafic.
Le travail de scan échoue lors de la modification de l'autorisation utilisateur du compte de service <uicontrol>AppScan Enterprise</uicontrol> sous Windows. Vous devez ajouter l'utilisateur du compte de service au groupe des administrateurs Windows sur les machines <uicontrol>AppScan Enterprise Server</uicontrol> et <uicontrol>Scanner</uicontrol>.
La vérification de la licence du scanner <uicontrol>HCL</uicontrol> ne se fait pas immédiatement lorsque le processus de service <uicontrol>AppScan Agent</uicontrol> est tué via le <uicontrol>Gestionnaire des tâches</uicontrol>. Il faudrait environ 15 minutes pour que les licences soient libérées. Il est recommandé de redémarrer et d'arrêter à nouveau l'agent via les services pour libérer les licences.
Si les utilisateurs ne se déconnectent pas avant l'arrêt du serveur <uicontrol>AppScan Enterprise</uicontrol>, les sessions ouvertes peuvent entraîner le non-retour des licences dans le pool. Ces licences restantes ne seront réintégrées qu'après 2 heures. Les utilisateurs doivent se déconnecter avant l'arrêt d'AppScan Enterprise Server.
Lors de l'installation d'AppScan Enterprise, l'installation de Visual C++ 2015 échoue si une version supérieure de Microsoft Visual C++ Redistributable 2017 est déjà installée dans le système, car l'application tente d'installer Visual C++ 2015 Redistributable sans vérifier si des versions plus récentes existent déjà dans le système. Désinstallez Visual C++ 2017 RC Redistributable, installez AppScan Enterprise et réinstallez Visual C++ 2017 Redistributable.
L'aide en ligne du produit est disponible dans toutes les langues, cependant les liens associés ne sont disponibles qu'en japonais, français, chinois simplifié et traditionnel. N/A.
Si la taille du fichier journal étendu est importante (supérieure à 2 Go), il peut arriver que l'opération de téléchargement du fichier fasse apparaître un fichier ZIP de 0 ko dans le rapport récapitulatif de l'onglet Examen. Dans de tels cas, copiez le fichier du répertoire Logs sur le serveur de l'agent AppScan Enterprise.
Lorsque vous éditez un examen dans le client de configuration Dynamic Analysis, assurez-vous que l'examen choisi n'est pas en cours d'exécution dans AppScan Enterprise car celui-ci pourrait interrompre le travail lors de la mise à jour. Sur la page Propriétés du travail du client, désactivez la case à cocher Exécuter le travail dès que possible, puis cliquez sur Mettre à jour le travail.
Lorsqu'un travail d'examen ne possède qu'une connexion enregistrée (pas d'exploration manuelle ni d'adresse URL de départ), l'examen ne balaye pas les données sous cette page. Ajoutez au moins une adresse URL de départ pour l'exploration manuelle ou l'adresse URL de départ de la page Objet de l'examen.
Il existe un risque de dégradation des performances et de faux négatifs dans les résultats lorsque le pare-feu sépare les agents et le site Web examiné. Le serveur AppScan Enterprise envoie en effet des tests de sécurité susceptibles d'être interprétés comme une activité réseau suspecte par certains pare-feux.
Si les règles de normalisation définies par l'utilisateur pointent sur une adresse URL vide, l'examen risque de ne pas se terminer. Lorsque des règles de normalisation sont définies dans les propriétés d'un travail, il est important de vérifier qu'elles pointent sur une adresse URL valide.
Si vous avez activé la gestion des problèmes pour les rapports, le rapport Récapitulatif du groupe de rapports ne sera pas synchronisé avec les données de rapport. Vous devez réexécuter le groupe de rapports pour synchroniser les nombres à la fin des tâches de gestion des problèmes.
Les rapports supprimés ne disparaissent pas immédiatement du tableau de bord. Vous devez réexécuter le tableau de bord pour que le changement prenne effet.
Lors du tri des listes, il se peut que l'ordre de classement ne soit pas celui prévu pour les langues suivantes : le japonais et le chinois. .NET et SQL sont utilisés, ainsi que les classements propres à l'environnement local, mais le produit n'est pas conforme au projet ICU (International Components for Unicode).

L'interruption totale du travail ADAC ne fonctionne pas pour les travaux créés avec des versions antérieures à la version 9.0.3.11, sauf si une sauvegarde d'édition est effectuée sur le travail.

Cause principale : Il y avait un problème dans l'application où l'URL de départ n'était pas mise à jour dans la base de données ASE pour un travail ADAC. Comme l'interruption totale lit le domaine à partir de la base de données ASE, l'interruption totale ne fonctionnait pas pour les travaux ADAC. Comme l'URL de départ est stockée dans le fichier dast.config, les travaux existants devaient être édités et enregistrés manuellement pour que l'URL soit stockée dans la base de données ASE.
  1. Editez un travail ADAC (créé avant la version 9.0.3.11).
  2. Mettez le travail à niveau.
  3. L'interruption totale devrait fonctionner comme elle a été configurée (comme le travail d'examen de contenu).

Après avoir exécuté une analyse dans AppScan Standard et exporté les résultats sous forme de fichier XML hérité pour une utilisation dans AppScan Enterprise, lors de l'utilisation de ce fichier XML, il a été exécuté en tant que travail importé. Celui-ci a ensuite été associé à une application dans AppScan Enterprise. Cependant, le rapport de sécurité généré n'inclut pas les URL visitées, malgré leur disponibilité dans le rapport original d'AppScan Standard.

 S/O

Bien que les fichiers cryptés d'AppScan Activity Recorder (AAR) puissent être importés à l'aide des API REST d'AppScan Enterprise. Dans les travaux de scan de contenu, ils ne sont pas pris en charge s'ils sont tentés directement via l'interface utilisateur du client AppScan Dynamic Analysis (ADAC).

 Méthode 1 : Utilisez les API REST d'AppScan pour l'importation de fichiers cryptés :

Utilisez les API REST d'AppScan (POST /jobs/{jobId}/dastconfig/updatetraffic/{action}) pour importer des fichiers cryptés. Cette méthode contourne les limitations de l'interface utilisateur et permet des importations réussies dans AppScan-ADAC, permettant aux analyses de fonctionner correctement.

Méthode 2 : Envisagez des méthodes d'enregistrement alternatives :

Pour les scénarios où des séquences de connexion cryptées sont nécessaires, envisagez d'utiliser l'enregistrement ADAC au lieu de AAR lors de l'exécution des tâches ADAC. L'enregistrement ADAC pourrait offrir plus de flexibilité sans rencontrer les limitations liées au cryptage observées avec les téléchargements AAR.
Dans la version 10.4.0 d'AppScan Enterprise, les rapports de sécurité générés aux formats PDF, HTML ou XML affichent la même cause générique pour chaque problème de Composant Vulnérable, quel que soit l'ID CVE (Common Vulnerabilities and Exposures) spécifique qui lui est associé. S/O
La mise à niveau d'ADAC v10.5.0 ou v10.5.1 vers une version plus récente directement depuis le serveur ASE échoue lorsque le certificat SSL sur le serveur ASE est invalide (expiré, non fiable). Cela se produit parce qu'ADAC 10.5.0 et 10.5.1 appliquent une sécurité plus stricte et bloquent les téléchargements avec des certificats invalides.

La solution à ce problème est incluse dans la version 10.6 d'ADAC et ultérieure. La mise à niveau vers ADAC 10.6 ou une version ultérieure résoudra le problème :

  1. Téléchargez la dernière version d'ADAC (10.6 ou ultérieure) depuis FNO.
  2. Installez la version ADAC téléchargée sur la machine cible.
Note :
  • Cette solution de contournement s'applique uniquement aux situations où le certificat SSL sur le serveur ASE est invalide.
  • Les utilisateurs avec des certificats SSL valides sur leurs serveurs ASE ne sont pas affectés par ce problème.
Lors de l'utilisation de Windows Server 2016 avec TLS 1.2, OLEDB ne fonctionne pas correctement. Ce problème empêche les utilisateurs de maintenir des connexions sécurisées avec TLS 1.2.

Pour résoudre ce problème, installez le SQL Native Client sur la machine. Vous pouvez télécharger le SQL Native Client à partir du lien suivant :

Télécharger SQL Native Client

Informations supplémentaires :
  • Les utilisateurs peuvent rétrograder vers TLS 1.1 comme mesure temporaire si la fonctionnalité OLEDB est requise sur Windows Server 2016.
  • Pour ceux qui préfèrent utiliser TLS 1.2, il est recommandé de passer à Windows Server 2019.
Dans AppScan Enterprise v10.6.0, le vecteur du Common Vulnerability Scoring System (CVSS) ne sera affiché qu'en anglais. Le vecteur ne sera pas visible pour les interfaces utilisateur non anglophones. S/O
Les analyses OpenAPI basées sur le modèle d'AppScan Standard ne sont pas prises en charge dans AppScan Enterprise. Créez des analyses OpenAPI dans AppScan Enterprise à partir d'AppScan Standard via AppScan Connect.
Dans le fichier exporté XLS, les sections "Gravité du problème (Max) par unité commerciale" et "Évaluation du risque de sécurité par unité commerciale" affichent tous les comptes d'application filtrés pour chaque unité commerciale (BU) au lieu du nombre réel d'applications. S/O
Cliquer sur un lien du tableau de bord avec des données filtrées ne transfère pas le filtre à l'onglet Portfolio. Par conséquent, l'onglet Portfolio affiche toutes les applications avec le statut correspondant, au lieu des seules applications filtrées. Les utilisateurs doivent filtrer manuellement les applications à partir de la section de filtre de l'onglet Portfolio.
Les détails des problèmes SCA ne sont pas affichés lors de l'importation de problèmes SCA d'AppScan on Cloud vers AppScan Enterprise. Contactez le support L2 d'AppScan Enterprise pour recevoir le correctif.
Dans les rapports PDF, l'attribut File: ou URL: est manquant. Cet attribut est également absent dans les fichiers XML exportés, ce qui entraîne son absence dans les rapports PDF ou HTML. Ce problème est présent dans la version AppScan Enterprise 10.6.0. Actuellement, il n'existe pas de correctif immédiat disponible. Des modifications au niveau du schéma sont nécessaires pour résoudre ce problème. Cependant, un nouveau scanner pour l'Analyse de la Composition Logicielle (SCA) sera introduit dans la prochaine version, ce qui résoudra ce problème.
Les packs de rapports de tâches DAST peuvent ne pas s'afficher correctement après leur achèvement. Actualisez la page et rouvrez le pack de rapports. Cela résout généralement le problème lors de la deuxième tentative.
Lors de la mise à niveau vers AppScan Enterprise v10.8.0 avec une grande base de données, l'Assistant de Configuration peut prendre plus de temps que d'habitude pour se terminer en raison de la mise à niveau des modèles par défaut. Cependant, le processus se terminera avec succès de lui-même. Les nouvelles installations se déroulent dans le délai prévu. Aucune solution de contournement n'est disponible, et un correctif est prévu pour une version future. S/O
Lorsqu'un nom d'application contient des caractères spéciaux, tels que "IAST-(InternalScan)", les comptes de problèmes dans l'onglet Agents IAST ne s'affichent pas correctement. Cela inclut les comptes de problèmes manquants pour différents niveaux de gravité, et d'autres détails d'agent connexes ne sont également pas affichés comme prévu. S/O
Parfois, lorsque le fichier de licence MHS est utilisé dans l'assistant de configuration du serveur, une erreur de validation de licence peut se produire. Cette erreur survient lors de la tentative de configuration de composants tels que <uicontrol>Administration des utilisateurs</uicontrol>, <uicontrol>Console d'entreprise</uicontrol> ou <uicontrol>Scanner d'analyse dynamique</uicontrol>. Cliquez sur le bouton <uicontrol>Retour</uicontrol> et revenez à l'écran de licence pour continuer la configuration.
Lors de l'utilisation du point de terminaison API <uicontrol>get /license/decryptedData</uicontrol>, le corps de la réponse affiche une date d'expiration nulle pour les licences perpétuelles. C'est un problème car les licences perpétuelles ne devraient pas avoir de date d'expiration, mais l'API renvoie incorrectement null au lieu d'indiquer que l'expiration n'est pas applicable. S/O
Lors de la tentative de connexion au serveur AppScan Enterprise en utilisant l'option <uicontrol>Certificat côté client</uicontrol> ou <uicontrol>Carte à puce</uicontrol> depuis le <uicontrol>Client d'analyse dynamique AppScan</uicontrol> (ADAC) lorsqu'il est lancé indépendamment, la connexion échoue avec le message d'erreur :

Échec de la connexion au serveur AppScan Enterprise.

 Lancez l'ADAC depuis la console du navigateur AppScan Enterprise au lieu de le lancer indépendamment.
Après la désinstallation d'AppScan Enterprise v10.9.1, vous ne pouvez pas supprimer certains fichiers et dossiers du répertoire d'installation, même avec des privilèges administrateur. Un message d'erreur indique que les fichiers sont utilisés par le processus javawe.exe. Redémarrez la machine après la désinstallation. Vous pouvez ensuite supprimer la structure de dossiers restante.
Les rapports PDF générés à partir de l'API <uicontrol>Get/issues/{jobId}</uicontrol> présentent les problèmes d'affichage suivants :
  • L'attribut de score CVSS apparaît sans score. Ce score est uniquement calculé lorsqu'un problème est associé à une application dans la page <uicontrol>Monitor</uicontrol>.
  • L'attribut URL affiche 'N/A' au lieu d'être masqué. Le nom du rapport, la description du rapport et les attributs de problème ne se traduisent pas.
  • Ils apparaissent toujours en anglais, quel que soit la langue sélectionnée dans l'interface utilisateur.
 S/O