既知の問題と回避策

これらは既知の問題とその回避策です。

1. 既知の問題と回避策
問題 回避策

問題タイプ、深刻度、スキャナー、またはステータスに基づいて問題を「グループ化」する際、各カテゴリに 500 を超える問題がある場合、追加の問題は表示されず、代わりにフィルターを使用することをお勧めします。フィルターも、各列タイプにつき最大 100 値までの表示に制限されています。

 「グループ化」オプションを削除し、結果の表示に使用したい列タイプに基づいてデータを並べ替えてください。
コンポーネントビューの詳細を AppScan Enterprise または AppScan Standard からエクスポートまたはインポートすることはできません。ただし、脆弱なコンポーネントは問題としてエクスポートまたはインポートできます。 なし
セキュリティレポート (xls、excel、xml、または PDF) にはコンポーネントの詳細は表示されません。 なし
構成ウィザードを実行することが、CVE レコードを更新する唯一の方法です。AppScan Enterprise のインストール後に導入された新しい CVE は、脆弱なコンポーネントに対して識別されません。 なし
アクティビティログにおいて、日付フィルターは指定された日付範囲より 1 日多いデータを表示します。 なし
CVSS 3.1 属性を持たない問題に対しては、期限切れの計算が行われません。 なし
バージョン 10.1.0 以前でスキャンされ、アプリケーションに関連付けられたすべての問題について、CVSS バージョン = 2.0 フィルターが CVSS 2.0 と 3.1 の両方の問題を表示する場合があります。 バージョンに基づいてすべての CVSS 2.0 問題を最初にリストする CVSS バージョン 列に基づいて問題を並べ替えることができます。

IAST .NET エージェントは、一部の .NET Framework アプリケーションで NuGet としてインストールする際に失敗し、「依存関係 'MonoModReorg.RuntimeDetour' を解決できません」というエラーが発生する場合があります。

IAST エージェントをインストールする前に、NuGet: 'MonoModReorg.RuntimeDetour' バージョン 22.11.21-prerelease.2 をインストールしてください。Visual Studio の NuGet タブでプレリリース チェックボックスが選択されていることを確認してください。これで、IAST エージェントを NuGet としてインストールできます。
LDAP が ASE に構成されており、スキャナーとサーバーが同じマシンにインストールされている場合、ユーザーグループをインポートできず、正しい値でユーザープロパティを保存できません。 動的分析スキャナーと共に、以前のサーバー構成時に選択したサーバーコンポーネントウィンドウ内のすべての該当コンポーネント (ユーザー管理/エンタープライズコンソール/IAST) を選択して、構成ウィザードを再実行してください。
深刻度が「情報」の IAST 問題で、CVSS バージョンが 3.1 ではなく 2.0 と表示されます。 IAST は AppScan Enterprise スキャナーであるため、表示されるバージョンを無視し、バージョンを 3.1 とみなしてください。
スキャンステータスアラートが構成されたメールアドレスに送信されません。 アラートサービスを再起動してください。
10.0.8 から 10.1.0 にアップグレードすると、IAST Java War エージェントのデプロイまたは接続に失敗し、AppScan Enterprise と対話しません。 エージェントを無効にしてから、再度有効にしてください。
AppScan Mobile Analyzer および AppScan Mobile Analyzer iOS スキャナープロファイルを使用して問題を再インポートすると、エラーが発生します。 [モニター] タブを更新してください。
問題の再テストを行うと、実際には問題が修正されていない場合でも、問題のステータスが「修正済み」として報告されることがあります。 サイトで認証が必要な場合、再テストで正しい再テストステータスを提供するには、スキャンレベルでログインを必須に設定する必要があります。
問題タイプ「Remote Command Execution on Spring MVC (CVE-2022-22965)」の再テストを行うと、実際には問題が修正されていない場合でも、問題のステータスが「再オープン」ではなく「修正済み」として報告されることがあります。 この問題タイプが修正されたかどうかを確認するために、アプリケーションのフルスキャンを実行することをお勧めします。
[モニター] タブで問題をクリックしても、問題の詳細が表示されません。代わりに、「CRWAS9999E 不明なエラーが発生しました。」というエラーメッセージが表示されます。この問題は、問題の詳細のテキストコンテンツが大きい場合に発生します。 <ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> に移動し、jvm.options に -Xss1024m という行を追加して、「HCL AppScan Enterprise Server」サービスを再起動してください。
エージェントサービスに「ライセンスの確認」ステータスが表示されます。 スキャナーマシン上の「HCL AppScan Agent Service」を再起動してください。

DAST プロキシの場合、Firefox ブラウザを使用してトラフィックを記録すると、インセッション (In-session) が自動的に検出されません。

 メインページの URL を選択して インセッション ボタンをクリックして手動でインセッションを追加するか、トラフィックを記録する前に、Clockify などの大量のトラフィックを作成する Firefox プラグインをオフにしてください。
OWASP 2017 の削除と OWASP 2021 レポートのサポート:10.0.7 より前に作成されたすべてのレポートパックおよびレポートパックテンプレートには、OWASP 2017 レポートが含まれます。 必要に応じて、ユーザーは既存のすべてのスキャンのレポートパックから OWASP Top 10 2017 を手動で削除し、OWASP Top 10 2021 を追加して、レポートパックを実行する必要があります。
IAST エージェントページで、次のような UI の不具合が発生する場合があります。
アクション ドロップダウンから キーの生成 ボタンをクリックしても、応答がありません。 ページを更新して再試行してください。
キーの生成ポップアップで 生成 ボタンをクリックしても、応答がありません。 複数回クリックしないでください。約 1 分待っても応答がない場合は、ポップアップを閉じて再試行してください。
Node.js エージェントのキーを再生成すると、パッケージサイズが増加する場合があります。 これは大多数のケースで機能するため、無視して構いません。
ダウンロードした Node.js エージェントに適切なエージェントキーがない場合。 エージェントキーを再生成し、エージェントを再度ダウンロードしてください。
SAST の問題について、インポートされたジョブを [スキャン] タブで実行すると、一般的な問題に対してわかりやすい名前が生成されるようになりました。[モニター] タブでは、以前のリリースとの一貫性を保つために古い形式の ID を引き続き使用しており、将来的にはわかりやすい名前に更新される予定です。このため、同じアプリケーションを使用してソースデータを [モニター] タブに直接インポートし、同じアプリケーションを [スキャン] タブで実行されるソースインポートジョブにリンクすると、一部の問題が異なる問題タイプ (SQL インジェクション、クロスサイトスクリプティングなど) に分類されることに気付く場合があります。 複数の SAST 問題を AppScan Enterprise にインポートする場合は、すべてに対して同じメカニズムを使用することをお勧めします。[モニター] タブですべてのスキャンをインポートするか、[スキャン] タブですべてのジョブをインポートジョブとして実行してアプリケーションにリンクするかのいずれかです。機能への影響はありません。この問題は表示にのみ影響します。
AppScan Enterprise UI の言語が英語以外の言語に設定されている場合、次の問題が発生する可能性があります。
  • [モニター] ページで、スキャン問題の「問題について」ページに移動すると、推論情報が常に英語で表示されます。
  • UI 言語がスペイン語 (Espanola) に設定されている場合、参照 API リンクと「修正方法」レポートのコンテンツが英語で表示されます。
  • 別の言語を選択して [モニター] タブから問題をエクスポートすると、問題タイプ名が英語で表示されます。
  • 別の言語に切り替えると、[スキャン] タブの修正方法 (異なるプログラミング言語のコンテンツ) が前の言語で表示されます。
  • ase_plan.pdf および Readme ファイルは翻訳されていません。
 言語設定の変更は、この情報が英語で利用可能になること以外、UI 機能には一切影響しません。したがって、これらの問題が以降のリリースで対処されるまで、機能の使用を継続することをお勧めします。
ユーザーが「修正方法」を既に使用中のポートに構成している場合、問題の詳細にアクセスして「修正方法」リンクにアクセスしようとしたときに、UI から適切なエラーメッセージが表示されません。 「修正方法」を別のポートに向けて構成ウィザードを再実行してください。
ユーザーが ASE UI で ユーザー定義テスト (User Defined Tests) ファイルをアップロードすると、次のエラーメッセージが表示されます:アドバイザリサービスサーバーへの接続エラー (Error connecting to the Advisory service server) UDT ファイルは AppScan Enterprise に正常にインポートされます。しかし、ユーザーは UI またはレポートで UDT 問題タイプ ID の「修正方法」情報を確認できません。
UDT 問題タイプ ID の xml 「修正方法」情報を確認するには:
  1. <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives フォルダーパスに移動し、対応する UDT 問題タイプ名 zip ファイル (例:UserDefined_UDT1.zip) を解凍します。
  2. ユーザーは、<ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US フォルダーパスで、修正方法/アドバイザリ情報 xml (例:UserDefined_UDT1.xml) ファイルを確認できます。
[スキャン] ページからフォルダーを編集し、フォルダーの権限に変更を加えずに 保存 ボタンをクリックすると、ActivityLog テーブルにアクション 3 としてマークされたエントリが作成されます。アクション 3 は、フォルダーが編集されたことを示します。 フォルダーの権限を編集していない場合は、キャンセル ボタンをクリックしてページを終了する必要があります。
ADAC クライアント統合 (ファイル形式 .exd) を介して Postman または SoapUI ツールによって生成されたトラフィックファイルから、ドメイン名が除外されません (API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} を使用)。 トラフィックファイルからドメインのトラフィックを除外するには、.dast.config、または .har ファイルを使用する必要があります。
Windows で AppScan Enterprise サービスアカウントのユーザー権限を変更すると、スキャンジョブが失敗します。 AppScan Enterprise Server とスキャナーマシンの両方で、サービスアカウントユーザーを Windows 管理者グループに追加する必要があります。
タスクマネージャーから AppScan Agent サービスプロセスを強制終了しても、HCL スキャナーライセンスのチェックインはすぐに行われません。ライセンスが解放されるまでに約 15 分かかります。 サービスを通じて Agent を再度開始および停止して、ライセンスを解放することをお勧めします。
AppScan Enterprise Server をシャットダウンする前にユーザーがログアウトしていない場合、セッションが開いたままになり、ライセンスがプールにチェックインされない可能性があります。これらの残されたライセンスは、2 時間後にのみチェックインされます。 ユーザーは、AppScan Enterprise Server をシャットダウンする前にログアウトする必要があります。
AppScan Enterprise のインストール中、上位バージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。これは、アプリケーションがシステムに新しいバージョンが既に存在するかどうかを確認せずに Visual C++ 2015 Redistributable をインストールしようとするためです。 Visual C++ 2017 RC Redistributable をアンインストールし、AppScan Enterprise をインストールしてから、Visual C++ 2017 Redistributable を再インストールしてください。
製品のインラインヘルプはすべての言語で利用できますが、関連リンクは日本語、フランス語、簡体字中国語、および繁体字中国語でのみ利用可能です。 なし
拡張ログファイルのサイズが大きい (2GB 以上) 場合、[スキャン] タブのサマリーレポートからログファイルをダウンロードすると、0KB の zip ファイルになることがあります。 このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリからファイルをコピーしてください。
動的分析構成クライアント (Dynamic Analysis Configuration Client) でスキャンを編集する場合、編集中のスキャンが AppScan Enterprise で実行されていないことを確認してください。そうしないと、スキャンの更新時にジョブが一時停止する可能性があります。 クライアントの [ジョブプロパティ] ページで、可能な限り早くジョブを実行 チェックボックスをオフにしてから、ジョブの更新 をクリックしてください。
スキャンジョブに記録されたログインのみがあり (手動探査や開始 URL がない)、スキャンはそのページより下をクロールしません。 手動探査 または スキャン対象 ページの開始 URL に少なくとも 1 つの URL を追加してください。
エージェントとスキャン対象の Web サイトの間にファイアウォールが展開されている場合、パフォーマンスの低下や誤検知 (False Negative) の結果が生じるリスクがあります。 AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワークアクティビティとしてフラグを立てる可能性のあるセキュリティテストを送信します。
ユーザー定義の正規化ルールによって URL 文字列が空になる場合、スキャンが終了しないリスクがあります。 ジョブプロパティ内で正規化ルールが定義されている場合、それらが有効な URL になることを確認することが重要です。
レポートで問題管理が行われた場合、レポートパックのサマリーレポートはレポートデータと同期しなくなります。 問題管理タスクが完了したら、数値を同期するためにレポートパックを再実行する必要があります。
削除されたレポートは、ダッシュボードからすぐには削除されません。 変更を有効にするには、ダッシュボードを再実行する必要があります。
リストを並べ替える際、日本語 および 中国語 の場合、照合順序が期待どおりに機能しない場合があります。 .NET および SQL 照合順序が使用され、ロケール固有の照合順序も使用されますが、製品は ICU に準拠していません。

ADAC ジョブのブラックアウトは、ジョブの編集保存が実行されるまで、9.0.3.11 より前に作成されたジョブに対して機能しません。

根本原因:ADAC ジョブの開始 URL が ASE データベースに更新されないという問題がアプリケーションにありました。ブラックアウトは ASE データベースからドメインを読み取るため、ADAC ジョブでブラックアウトが機能しませんでした。開始 URL は dast.config ファイル内に保存されるため、URL を ASE データベースに保存するには、既存のジョブを手動で編集して保存する必要があります。
  1. ADAC ジョブ (9.0.3.11 より前に作成) を編集します。
  2. ジョブの更新を実行します。
  3. ブラックアウトは構成どおりに機能するはずです (コンテンツスキャンジョブと同様)。

AppScan Standard でスキャンを実行し、結果を AppScan Enterprise で使用するためにレガシー XML ファイルとしてエクスポートした後、この XML ファイルを使用してインポートされたジョブとして実行されました。その後、これは AppScan Enterprise のアプリケーションに関連付けられました。しかし、生成されたセキュリティレポートには、元の AppScan Standard レポートで使用可能であったにもかかわらず、訪問済み URL が含まれていません。

 なし

AppScan Activity Recorder (AAR) の暗号化ファイルは AppScan Enterprise REST API を使用してインポートできますが、コンテンツスキャンジョブでは、AppScan Dynamic Analysis Client (ADAC) ユーザーインターフェースから直接試行された場合、サポートされません。

 方法 1: 暗号化ファイルのインポートに AppScan REST API を使用する:

暗号化ファイルをインポートするには、AppScan REST API (POST /jobs/{jobId}/dastconfig/updatetraffic/{action}) を使用します。この方法はユーザーインターフェースの制限を回避し、AppScan-ADAC へのインポートを成功させ、スキャンが正しく機能するようにします。

方法 2: 代替の記録方法を検討する:

暗号化されたログインシーケンスが必要なシナリオでは、ADAC ジョブを実行する際に AAR の代わりに ADAC 記録を使用することを検討してください。ADAC 記録は、AAR アップロードで見られる暗号化関連の制限に遭遇することなく、より高い柔軟性を提供する可能性があります。
AppScan Enterprise バージョン 10.4.0 では、PDF、HTML、または XML 形式で生成されたセキュリティレポートにおいて、関連する特定の共通脆弱性識別子 (CVE) ID に関係なく、各脆弱なコンポーネントの問題に対して同じ一般的な原因が表示されます。 なし
ASE サーバー上の SSL 証明書が無効 (期限切れ、信頼されていない) である場合、ASE サーバーから直接 ADAC v10.5.0 または v10.5.1 を新しいバージョンにアップグレードすると失敗します。これは、ADAC 10.5.0 および 10.5.1 がより厳格なセキュリティを適用し、無効な証明書でのダウンロードをブロックするために発生します。

この問題の修正は ADAC バージョン 10.6 以降に含まれています。ADAC 10.6 以降にアップグレードすると、問題が解決します。

  1. FNO から最新の ADAC バージョン (10.6 以降) をダウンロードします。
  2. ダウンロードした ADAC バージョンをターゲットマシンにインストールします。
注:
  • この回避策は、ASE サーバー上の SSL 証明書が無効な状況にのみ適用されます。
  • ASE サーバーに有効な SSL 証明書があるユーザーは、この問題の影響を受けません。
Windows Server 2016 で TLS 1.2 を使用する場合、OLEDB が正しく機能しません。この問題により、ユーザーは TLS 1.2 での安全な接続を維持できません。

この問題を解決するには、マシンに SQL Native Client をインストールしてください。SQL Native Client は以下のリンクからダウンロードできます。

SQL Native Client のダウンロード

追加情報:
  • Windows Server 2016 で OLEDB 機能が必要な場合、一時的な措置として TLS 1.1 にダウングレードすることができます。
  • TLS 1.2 の使用を希望する場合は、Windows Server 2019 へのアップグレードをお勧めします。
AppScan Enterprise v10.6.0 では、共通脆弱性評価システム (CVSS) ベクトルは英語でのみ表示されます。ベクトルは、英語以外のユーザーインターフェースでは表示されません。 なし
AppScan Standard のテンプレートに基づく OpenAPI スキャンは、AppScan Enterprise ではサポートされていません。 AppScan Connect を介して AppScan Standard から AppScan Enterprise で OpenAPI スキャンを作成してください。
エクスポートされた XLS ファイルにおいて、「ビジネスユニット別の問題の深刻度 (最大)」および「ビジネスユニット別のセキュリティリスク評価」セクションには、実際のアプリケーション数ではなく、各ビジネスユニット (BU) のフィルターされたすべてのアプリケーション数が表示されます。 なし
ダッシュボード上のリンクをクリックしてデータをフィルターしても、フィルターは [ポートフォリオ] タブに引き継がれません。その結果、[ポートフォリオ] タブには、フィルターされたアプリケーションのみではなく、対応するステータスのすべてのアプリケーションが表示されます。 ユーザーは、[ポートフォリオ] タブのフィルターセクションから手動でアプリケーションをフィルターする必要があります。
AppScan on Cloud から AppScan Enterprise に SCA の問題をインポートする際、SCA の問題の詳細が表示されません。 パッチを受け取るには、AppScan Enterprise L2 サポートにお問い合わせください。
PDF レポートにおいて、File: または URL: 属性が欠落しています。この属性はエクスポートされた XML ファイルにも存在せず、結果として PDF または HTML レポートに表示されません。この問題は、AppScan Enterprise 10.6.0 バージョンに存在します。 現在、利用可能な即時の修正はありません。この問題に対処するには、スキーマレベルの変更が必要です。ただし、次期リリースではソフトウェア構成分析 (SCA) 用の新しいスキャナーが導入され、この問題は解決される予定です。
DAST ジョブのレポートパックは、完了後に正しく表示されない場合があります。 ページを更新し、レポートパックを再度開いてください。通常、2 回目の試行で問題が解決します。
大規模なデータベースを使用して AppScan Enterprise v10.8.0 にアップグレードする場合、デフォルトテンプレートのアップグレードにより、構成ウィザードの完了に通常よりも時間がかかる場合があります。ただし、プロセスは自動的に正常に完了します。新規インストールは想定される時間枠内で進行します。回避策はありませんが、将来のリリースで修正が予定されています。 なし
アプリケーション名に "IAST-(InternalScan)" などの特殊文字が含まれている場合、[IAST エージェント] タブの問題数が正しく表示されません。これには、異なる深刻度レベルの問題数の欠落が含まれ、その他の関連するエージェントの詳細も期待どおりに表示されません。 なし
サーバー構成ウィザードで MHS ライセンスファイルを使用すると、ライセンス検証エラーが発生する場合があります。このエラーは、ユーザー管理、エンタープライズコンソール、または動的分析スキャナーなどのコンポーネントを構成しようとしたときに発生します。 戻る ボタンをクリックしてライセンス画面に戻り、構成を続行してください。
API エンドポイント get /license/decryptedData を使用すると、応答本文に永久ライセンスの有効期限が null と表示されます。永久ライセンスには有効期限がないはずですが、API が有効期限が適用されないことを示す代わりに誤って null を返すため、これは問題です。 なし
AppScan Dynamic Analysis Client (ADAC) を単独で起動し、クライアントサイド証明書またはスマートカードオプションを使用して AppScan Enterprise サーバーにサインインしようとすると、ログインが失敗し、次のエラーメッセージが表示されます:

AppScan Enterprise Server への接続に失敗しました (Failed to connect to AppScan Enterprise Server)

 ADAC を単独で起動するのではなく、AppScan Enterprise ブラウザコンソールから起動してください。
AppScan Enterprise v10.9.1 をアンインストールした後、管理者権限があっても、インストールディレクトリから一部のファイルやフォルダーを削除できません。エラーメッセージは、ファイルが javawe.exe プロセスによって使用中であることを示しています。 アンインストールが完了したら、マシンを再起動してください。その後、残りのフォルダー構造を削除できます。
Get/issues/{jobId} API から生成された PDF レポートには、次の表示上の問題があります:
  • CVSS スコア属性がスコアなしで表示されます。このスコアは、問題が [モニター] ページでアプリケーションに関連付けられている場合にのみ計算されます。
  • URL 属性は非表示にならずに「N/A」と表示されます。レポート名、レポートの説明、および問題の属性は翻訳されません。
  • これらは、ユーザーインターフェースで選択された言語に関係なく、常に英語で表示されます。
 なし