Nouveautés d'HCL AppScan® Enterprise
Cette section décrit les nouvellesAppScan Enterprise fonctionnalités et améliorations du produit dans cette version, ainsi que les dépréciations et les changements anticipés, le cas échéant.
Nouveautés d'HCL AppScan® Enterprise 10.9.1
- Améliorations de l'IAST :
- Introduit de nouveaux agents IAST PHP, étendant la prise en charge aux serveurs Windows, Ubuntu et Red Hat.
- Améliorations de l'analyse API : Cette version améliore les capacités d'analyse API avec un support supplémentaire pour les spécifications OpenAPI et une analyse améliorée des collections Postman. Les nouveaux points de terminaison de l'API REST suivants sont désormais disponibles :
POST /jobs//{jobId}dastconfig/postman/url/add: Permet d'ajouter une URL de collection Postman, y compris les URL des variables d'environnement et globales associées, à une configuration de scan DAST.POST /jobs//{jobId}dastconfig/openapi/add: Permet l'ajout d'un fichier de description OpenAPI à une configuration de scan DAST.POST /jobs//{jobId}dastconfig/openapi/url/add: Facilite l'ajout d'une description OpenAPI à une configuration de scan DAST en utilisant une URL.
- Mise à jour des normes de sécurité et des rapports de conformité sur l'onglet "Moniteur" :
- Le rapport « CWE Top 25 Most Dangerous Software Weaknesses » a été mis à jour pour l'édition 2024, succédant à la version 2023.
- Le rapport de conformité réglementaire « [US] DISA's Application Security and Development STIG » est maintenant en version V6R3, mis à jour depuis la version V6R1.
- Prise en charge de l'analyse WebSocket :
- Prise en charge du protocole WebSocket qui utilise des messages JSON ou XML pour l'échange de données.
- Amélioration du rapport CWE :
- Pour une évaluation de vulnérabilité plus complète, les rapports de sécurité clés dans l'onglet Moniteur affichent désormais plusieurs CWE en plus du principal.
Liste de correctifs APAR
Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :
| N° d'APAR | Description |
|---|---|
| KB0119487 | Résolution d'une divergence dans le décompte des problèmes pour les analyses importées deAppScan Standard, où plusieurs problèmes partageaient le même 'Id d'élément'. |
| KB0120978 | Correction d'un problème où les rapports Excel ne se généraient pas si le contenu dépassait la limite de caractères de la cellule. |
| KB0120294 | Corrigé un problème où les résultats de l'analyse téléchargés depuisAppScan Standard ne s'affichaient pas dans l'application associée lors de l'utilisation de paramètres linguistiques autres que l'anglais. |
Correctifs et mises à jour de sécurité
Les nouvelles règles de sécurité de cette version sont les suivantes :attWordpressGalleryPluginPathTraversalCVE20233279- Vulnérabilité de Traversée de Chemin dans le Plugin de Galerie WordPress CVE-2023-3279attWordPressBackupMigrationplugincve20235737- Plugin de sauvegarde et de migration WordPress Vulnérabilité d'accès cassé CVE-2023-5737attMobileMouseRCECVE202331902- Exécution de Commande à Distance Mobile Mouse CVE-2023-31902attOpenWireApacheServerRCECVE202346604- OpenWire Apache Server RCE pour CVE-2023-46604attApacheHugeGraphRCECVE202427348- Apache HugeGraph RCE CVE-2024-27348attApacheOFBizRCECVE202438856- Apache OFBiz RCE pour CVE-2024-38856attCactiRCECVE202425641- Cacti RCE CVE-2024-25641attLMSBlindSqlInjectionTimeoutCVE20248529- Plugin WordPress Learnpress Injection SQL CVE-2024-8529attWordPressUltimateExporterRCECVE202456278- Exportateur Ultime WordPress RCE pour CVE-2024-56278JwtWeakSecretKey- Détecte les clés secrètes JWT faibles- La base de données des composants vulnérables a été mise à jour vers la version 1.7.
De plus, les règles de sécurité suivantes ont été mises à jour :
LiferayPortalJSONWSRCEIssue- Exécution de code à distance JSONWS de Liferay Portal : Ajout d'une variante ADNS.attConfluenceRemoteCommandExecutionCVE202126084- Injection OGNL Webwork du serveur Confluence (CVE-2021-26084) : Ajout de deux variantes TWS (Wget et Curl).attBlindSqlInjectionTWSMSSQL- Injection SQL aveugle Out-Of-Band pour MS-SQL : Ajout de 4 variantes TWS (curl + wget, chaîne + numérique).WeakJWTExpiration- Correction du regex de détection JWT.attJWTWeakSignature- Correction du regex de détection JWT.
La liste complète des correctifs, mises à jour et RFEs de cette version est répertoriée ici.
Modifié dans cette édition
- La bibliothèque Underscore.js a été mise à niveau vers la version 1.13.7.
- Le moteur de navigateur Chromium a été mis à niveau vers la version 138.0.7204.96 pour intégrer les derniers correctifs de sécurité.
- Une évaluation VPAT complète a été réalisée pour documenter la conformité avec les normes d'accessibilité telles que WCAG, Section 508 et EN 301 549. Pour plus d'informations, consultez les fonctionnalités d'accessibilité pour AppScan Enterprise.
Supprimé dans cette édition
- Aucun élément n'a été supprimé dans cette version.
Modifications à venir
- AppScanles versions 10.6.0 et antérieures atteindront la fin du support (EOS) d'ici juin 2025. Il est recommandé de mettre à jour vers la dernière version disponible avant cette date.
- Le support pour Microsoft® Windows® 10 et Microsoft® Windows® Server 2019 sera supprimé dans une future version deAppScan car ces systèmes d'exploitation ont atteint la fin de leur période de support principal.
- Le support pour Microsoft® Windows® Server 2025 est prévu pour une version à venir.
- Dans une prochaine version, une API REST unique et unifiée remplacera les points de terminaison actuels pour la configuration d'OpenAPI (.../openapi/url/add et .../openapi/add). La nouvelle API prend également en charge l'autorisation et des paramètres supplémentaires.