既知の問題と回避策
これらは既知の問題とその回避策です。
| 問題 | 回避策 |
|---|---|
|
IssueType、Severity、Scanner、または Status に基づいて問題を「グループ化」する場合、各カテゴリに 500 を超える問題があると、追加の問題は表示されず、代わりにフィルターを使用することをお勧めします。フィルターも、各列タイプの最大 100 個の値を表示するように制限されています。 |
「グループ化」オプションを削除し、結果を表示するために使用する列タイプに基づいてデータを並べ替えます。 |
| コンポーネントビューの詳細は、AppScan Enterprise または AppScan Standard からエクスポートまたはインポートできません。ただし、脆弱なコンポーネントは問題としてエクスポートまたはインポートできます。 | なし |
| セキュリティ・レポート (xls、excel、xml、または PDF) には、コンポーネントの詳細は表示されません。 | なし |
| 構成ウィザードを実行することが、CVE レコードを更新する唯一の方法です。AppScan Enterprise のインストール後に導入された新しい CVE は、脆弱なコンポーネントとして識別されません。 | なし |
| アクティビティ・ログで、日付フィルターは指定された日付範囲より 1 日分多いデータを表示します。 | なし |
| CVSS 3.1 属性を持たない問題については、期限切れの計算は行われません。 | なし |
| バージョン 10.1.0 以前でスキャンされ、アプリケーションに関連付けられているすべての問題について、CVSS Version = 2.0 フィルターが CVSS 2.0 と 3.1 の両方の問題を表示する場合があります。 | CVSS Version 列に基づいて問題を並べ替えることができます。これにより、バージョンに基づいてすべての CVSS 2.0 の問題が最初にリストされます。 |
|
依存関係「MonoModReorg.RuntimeDetour」を解決できないというエラーにより、一部の .NET Framework アプリケーションで IAST .NET エージェントが NuGet としてインストールできない場合があります。 |
IAST エージェントをインストールする前に、NuGet:
|
| LDAP が ASE に構成されており、スキャナーとサーバーが同じマシンにインストールされている場合、ユーザー・グループをインポートしてユーザー・プロパティを正しい値で保存することができません。 | サーバー構成時に以前選択した該当するすべてのコンポーネント (User Administration/Enterprise Console/IAST) と共に、Dynamic Analysis スキャナーをサーバー・コンポーネント・ウィンドウで選択して、構成ウィザードを再実行します。 |
| 重大度が「情報 (Information)」の IAST 問題では、CVSS バージョンが 3.1 ではなく 2.0 として表示されます。 | IAST は AppScan Enterprise スキャナーであるため、表示されるバージョンは無視し、バージョンを 3.1 とみなしてください。 |
| スキャン・ステータスのアラートが構成済みのメール・アドレスに送信されません。 | アラート・サービスを再起動します。 |
| 10.0.8 から 10.1.0 にアップグレードすると、IAST java war エージェントのデプロイまたは接続が失敗し、AppScan Enterprise と対話しなくなります。 | エージェントを無効にしてから、再度有効にします。 |
| Appscan Mobile Analyzer および AppScan Mobile Analyzer IOS スキャナー・プロファイルで問題を再インポートすると、エラーが発生します。 | モニター・タブを更新します。 |
| 問題を再テストすると、問題が実際には修正されていない場合でも、ステータスが「修正済み (Fixed)」と報告されることがあります。 | サイトで認証が必要な場合は、再テストで正しい再テスト・ステータスが提供されるように、スキャン・レベルでログインを必須に設定する必要があります。 |
| 問題タイプ「Remote Command Execution on Spring MVC (CVE-2022-22965)」を再テストすると、問題が実際には修正されていない場合でも、ステータスが「再オープン (Reopened)」ではなく「修正済み (Fixed)」と報告されることがあります。 | この問題タイプが修正されたかどうかを確認するために、アプリケーションのフル・スキャンを実行することをお勧めします。 |
| モニター・タブで問題をクリックしても、問題の詳細が表示されません。代わりに、「CRWAS9999E 不明なエラーが発生しました (An unknown error has occurred)。」というエラー・メッセージが表示されます。この問題は、問題の詳細のテキスト・コンテンツが大きい場合に発生します。 | <ASE インストール・ディレクトリ>\AppScan Enterprise\Liberty\usr\servers\<サーバー・インスタンス> に移動し、jvm.options に行 -Xss1024m を追加して、「HCL AppScan Enterprise Server」サービスを再起動します。 |
| エージェント・サービスに「ライセンスの確認 (Check License)」ステータスが表示されます。 | スキャナー・マシンの「HCL AppScan Agent Service」を再起動します。 |
|
DAST プロキシの場合、Firefox ブラウザーを使用してトラフィックが記録されると、セッション内 (In-session) が自動的に検出されません。 |
メイン・ページの URL を選択して セッション内 (In-session) ボタンをクリックし、手動でセッション内を追加するか、トラフィックを記録する前に、大量のトラフィックを作成する Firefox プラグイン (例: Clockify) をオフにします。 |
| OWASP 2017 の削除と OWASP 2021 レポートのサポート: 10.0.7 より前に作成されたすべてのレポート・パックおよびレポート・パック・テンプレートには、OWASP 2017 レポートが含まれます。 | 必要に応じて、ユーザーは既存のすべてのスキャンのレポート・パックから OWASP Top 10 2017 を手動で削除し、OWASP Top 10 2021 を追加して、レポート・パックを実行する必要があります。 |
| IAST エージェント・ページで、次のような UI の不具合が発生する場合があります。 | |
| アクション (Actions) ドロップダウンから キーの生成 (Generate key) ボタンをクリックしても、応答がありません。 | ページを更新して再試行してください。 |
| キー生成ポップアップで 生成 (Generate) ボタンをクリックしても、応答がありません。 | 複数回クリックしないでください。約 1 分間待っても応答がない場合は、ポップアップを閉じて再試行してください。 |
| Node.js エージェントのキーを再生成すると、パッケージのサイズが大きくなる場合があります。 | ほとんどのケースで機能するため、これは無視できます。 |
| ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。 | エージェント・キーを再生成し、エージェントを再度ダウンロードします。 |
| SAST の問題の場合、スキャン・タブでインポートされたジョブを実行すると、一般的な問題に対してユーザーにわかりやすい名前が生成されるようになりました。モニター・タブは、以前のリリースとの一貫性を保つため、引き続き古い形式の ID を使用し、将来的にはユーザーにわかりやすい名前に更新される予定です。このため、同じアプリケーションを使用してソース・データをモニター・タブに直接インポートし、スキャン・タブで実行されるソース・インポート・ジョブに同じアプリケーションをリンクすると、一部の問題が異なる問題タイプ (SQL インジェクション、クロスサイト・スクリプティングなど) の下に分類されることがあります。 | 複数の SAST の問題を AppScan Enterprise にインポートする場合は、すべて同じメカニズムを使用することをお勧めします。すべてのスキャンをモニター・タブでインポートするか、スキャン・タブですべてのジョブをインポート・ジョブとして実行してアプリケーションにリンクします。機能への影響はありません。この問題は表示のみに影響します。 |
AppScan Enterprise の UI 言語が英語以外の言語に設定されている場合、次の問題が発生する可能性があります。
|
言語設定を変更しても、この情報が英語で利用可能になること以外、UI 機能に影響はありません。したがって、これらの問題が以降のリリースで対処されるまで、機能を引き続き使用することをお勧めします。 |
| ユーザーが修正方法 (How to Fix) をすでに使用されているポートに構成した場合、ユーザーが UI から問題の詳細や修正方法のリンクにアクセスしようとしても、適切なエラー・メッセージが表示されません。 | 修正方法を別のポートに指定して構成ウィザードを再実行します。 |
| ユーザーが ASE UI で ユーザー定義テスト (User Defined Tests) ファイルをアップロードすると、アドバイザリ・サービス・サーバーへの接続中にエラーが発生しました (Error connecting to the Advisory service server) というエラー・メッセージが表示されます。 | UDT ファイルは AppScan Enterprise に正常にインポートされます。しかし、ユーザーは UI またはレポートで UDT の issueTypeIds「修正方法 (How To Fix)」情報を確認できません。 UDT issueTypeIds の xml「修正方法」情報を確認するには:
|
| フォルダーの権限に変更を加えずにスキャンのページからフォルダーを編集し、保存 (Save) ボタンをクリックすると、ActivityLog テーブルにアクション 3 としてエントリーが作成されます。アクション 3 は、フォルダーが編集されたことを示します。 | フォルダーの権限を編集していない場合は、キャンセル (Cancel) ボタンをクリックしてページを終了する必要があります。 |
| Postman または SoapUI ツールによって ADAC クライアント統合を介して生成されたトラフィック・ファイル (.exd 形式のファイル) から、ドメイン名が除外されません。これは、API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} を使用した場合に発生します。 | トラフィック・ファイルからドメインのトラフィックを除外するには、.dast、 .config、または .har ファイルを使用する必要があります。 |
| Windows で AppScan Enterprise サービス・アカウントのユーザー権限を変更すると、スキャン・ジョブが失敗します。 | AppScan Enterprise サーバーおよびスキャナー・マシンの両方で、サービス・アカウント・ユーザーを Windows の administrators グループに追加する必要があります。 |
| タスク・マネージャーで AppScan Agent サービス・プロセスを強制終了すると、HCL スキャナー・ライセンスのチェックインがすぐに行われません。ライセンスが解放されるまでに約 15 分かかります。 | ライセンスを解放するには、サービスを通じてエージェントを再度起動および停止することをお勧めします。 |
| AppScan Enterprise サーバーをシャットダウンする前にユーザーがログアウトしていない場合、開いているセッションによりライセンスがプールにチェックインされない可能性があります。これらの残ったライセンスは 2 時間後にのみチェックインされます。 | AppScan Enterprise サーバーをシャットダウンする前に、ユーザーはログアウトする必要があります。 |
| AppScan Enterprise のインストール中、システムに上位バージョンの Microsoft Visual C++ Redistributable 2017 がすでにインストールされている場合、Visual C++ 2015 のインストールが失敗します。これは、システムにすでに新しいバージョンが存在するかどうかを確認せずに、アプリケーションが Visual C++ 2015 Redistributable をインストールしようとするためです。 | Visual C++ 2017 RC Redistributable をアンインストールし、AppScan Enterprise をインストールしてから、Visual C++ 2017 Redistributable を再インストールします。 |
| 製品のインライン・ヘルプはすべての言語で利用できますが、関連リンクは日本語、フランス語、中国語 (簡体字)、および中国語 (繁体字) でのみ利用可能です。 | なし |
| 拡張ログ・ファイルのサイズが大きい (2GB 超) 場合、スキャン・タブの要約レポートからのログ・ファイル・ダウンロード操作で 0KB の zip ファイルが生成されることがあります。 | このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリからファイルをコピーしてください。 |
| Dynamic Analysis Configuration Client でスキャンを編集する場合、編集中のスキャンが AppScan Enterprise で実行されていないことを確認してください。実行されていると、スキャンの更新時にジョブが中断される可能性があります。 | クライアントの ジョブ・プロパティ (Job Properties) ページで、可能な限り早くジョブを実行する (Run job as soon as possible) チェックボックスをオフにしてから、ジョブの更新 (Update Job) をクリックします。 |
| スキャン・ジョブに記録されたログインのみがあり、手動探索 (Manual Explore) または開始 URL (Starting URLs) がない場合、スキャンはそのページより下をクロールしません。 | スキャン対象 (What to Scan) ページの 手動探索 (Manual Explore) または開始 URL に少なくとも 1 つの URL を追加します。 |
| エージェントとスキャン対象の Web サイトの間にファイアウォールが配置されていると、パフォーマンスの低下や偽陰性の結果が発生するリスクがあります。 | AppScan Enterprise サーバーはセキュリティ・テストを送信しますが、一部のファイアウォール製品では疑わしいネットワーク アクティビティとしてフラグが立てられる可能性があります。 |
| ユーザー定義の正規化ルールにより URL 文字列が空になった場合、スキャンが終了しないリスクがあります。 | ジョブ・プロパティ内で正規化ルールを定義する場合、それらが有効な URL になることを確認することが重要です。 |
| レポートで問題管理 (Issue Management) が実行された場合、レポート・パックの要約レポートはレポート・データと同期しなくなります。 | 問題管理のタスクが完了したときに数値を同期するには、レポート・パックを再実行する必要があります。 |
| 削除されたレポートはダッシュボードからすぐには削除されません。 | 変更を適用するには、ダッシュボードを再実行する必要があります。 |
| リストを並べ替える際、日本語および中国語の照合順序が期待どおりに機能しない場合があります。 | .NET および SQL の照合が使用され、ロケール固有の照合も使用されますが、製品は ICU に準拠していません。 |
|
9.0.3.11 より前に作成されたジョブでは、ジョブの編集保存が実行されるまで、ADAC ジョブのブラックアウトが機能しません。 根本原因: ADAC ジョブの開始 URL が ASE データベースで更新されないという問題がアプリケーションにありました。ブラックアウトは ASE データベースからドメインを読み取るため、ADAC ジョブでブラックアウトが機能しませんでした。開始 URL は dast.config ファイル内に保存されるため、URL を ASE データベースに保存するには、既存のジョブを手動で編集して保存する必要があります。 |
|
|
AppScan Standard でスキャンを実行し、AppScan Enterprise で使用するために結果をレガシー XML ファイルとしてエクスポートした後、この XML ファイルを使用すると、インポートされたジョブとして実行されました。これはその後、AppScan Enterprise のアプリケーションに関連付けられました。しかし、生成されたセキュリティ・レポートには、元の AppScan Standard レポートで利用可能であったにもかかわらず、訪問済み URL (Visited URLs) が含まれていません。 |
なし |
|
AppScan Activity Recorder (AAR) の暗号化ファイルは AppScan Enterprise の REST API を使用してインポートできますが、AppScan Dynamic Analysis Client (ADAC) ユーザー・インターフェイスから直接試みた場合、コンテンツ・スキャン・ジョブではサポートされません。 |
方法 1: 暗号化ファイルのインポートに AppScan の REST API を使用する: AppScan REST API (POST /jobs/{jobId}/dastconfig/updatetraffic/{action}) を使用して、暗号化ファイルをインポートします。この方法により、ユーザー・インターフェイスの制限を回避し、AppScan-ADAC へのインポートを成功させて、スキャンを正しく機能させることができます。 方法 2: 代替の記録方法を検討する:暗号化されたログイン・シーケンスが必要なシナリオでは、ADAC ジョブを実行する際に AAR の代わりに ADAC 記録を使用することを検討してください。ADAC 記録は、AAR のアップロードで見られる暗号化関連の制限に遭遇することなく、より高い柔軟性を提供する可能性があります。 |
| AppScan Enterprise バージョン 10.4.0 では、PDF、HTML、または XML 形式で生成されたセキュリティ・レポートにおいて、関連付けられている特定の共通脆弱性識別子 (CVE) ID に関係なく、各「脆弱なコンポーネント (Vulnerable Component)」の問題に対して同じ一般的な原因が表示されます。 | なし |
| ASE サーバーの SSL 証明書が無効 (期限切れ、信頼できない) な場合、ASE サーバーから直接 ADAC v10.5.0 または v10.5.1 を新しいバージョンにアップグレードすると失敗します。これは、ADAC 10.5.0 および 10.5.1 がより厳格なセキュリティを適用し、無効な証明書を持つダウンロードをブロックするためです。 |
この問題の修正は、ADAC バージョン 10.6 以降に含まれています。ADAC 10.6 以降にアップグレードすると、問題が解決します:
注:
|
| Windows Server 2016 で TLS 1.2 を使用する場合、OLEDB が正しく機能しません。この問題により、ユーザーは TLS 1.2 を使用した安全な接続を維持できなくなります。 |
この問題を解決するには、マシンに SQL Native Client をインストールします。次のリンクから SQL Native Client をダウンロードできます: 追加情報:
|
| AppScan Enterprise v10.6.0 では、共通脆弱性評価システム (CVSS) ベクターは英語でのみ表示されます。英語以外のユーザー・インターフェースではベクターは表示されません。 | なし |
| AppScan Standard のテンプレートに基づく OpenAPI スキャンは、AppScan Enterprise ではサポートされていません。 | AppScan Connect を介して、AppScan Standard から AppScan Enterprise に OpenAPI スキャンを作成します。 |
| エクスポートされた XLS ファイルの「ビジネス・ユニット別の問題の重大度 (最大) (Issue Severity (Max) by Business Unit)」および「ビジネス・ユニット別のセキュリティ・リスク評価 (Security Risk Rating by Business Unit)」セクションには、実際のアプリケーション数ではなく、各ビジネス・ユニット (BU) のフィルター処理されたすべてのアプリケーション数が表示されます。 | なし |
| フィルター処理されたデータを使用してダッシュボードのリンクをクリックしても、フィルターはポートフォリオ (Portfolio) タブに引き継がれません。その結果、ポートフォリオ・タブには、フィルター処理されたアプリケーションのみではなく、対応するステータスを持つすべてのアプリケーションが表示されます。 | ユーザーは、ポートフォリオ・タブのフィルター・セクションから手動でアプリケーションをフィルター処理する必要があります。 |
| AppScan on Cloud から AppScan Enterprise に SCA の問題をインポートすると、SCA 問題の詳細が表示されません。 | パッチを受け取るには、AppScan Enterprise L2 サポートにお問い合わせください。 |
PDF レポートで、ファイル (File): または URL: 属性が欠落しています。この属性はエクスポートされた XML ファイルにもないため、PDF または HTML レポートに表示されません。この問題は、バージョン AppScan Enterprise 10.6.0 に存在します。 |
現在、利用可能な即時の修正はありません。この問題に対処するには、スキーマ・レベルの変更が必要です。ただし、次のリリースでは Software Composition Analysis (SCA) 用の新しいスキャナーが導入され、この問題が解決される予定です。 |
| 完了後、DAST ジョブ・レポート・パックが正しく表示されない場合があります。 | ページを更新し、レポート・パックを再度開きます。これにより、通常は 2 回目の試行で問題が解決します。 |
| 大規模なデータベースを使用して AppScan Enterprise v10.8.0 にアップグレードする場合、デフォルト・テンプレートのアップグレードにより、構成ウィザードの完了に通常より時間がかかることがあります。ただし、プロセスは単独で正常に完了します。新規インストールは想定された時間内に進行します。回避策は利用できず、将来のリリースで修正が予定されています。 | なし |
| アプリケーション名に「IAST-(InternalScan)」などの特殊文字が含まれている場合、IAST エージェント・タブの問題数が正しく表示されません。これには、さまざまな重大度レベルの問題数が欠落していることや、その他の関連するエージェントの詳細も想定どおりに表示されないことが含まれます。 | なし |
| サーバー構成ウィザードで MHS ライセンス・ファイルを使用すると、ライセンス検証エラーが発生する場合があります。このエラーは、ユーザー管理、エンタープライズ・コンソール、ダイナミック・アナリシス・スキャナーなどのコンポーネントを構成しようとしたときに発生します。 | 戻る (Back) ボタンをクリックしてライセンス画面に戻り、構成を続行します。 |
API エンドポイント get /license/decryptedData を使用すると、応答本文に永久ライセンスの有効期限が null と表示されます。永久ライセンスには有効期限がないはずなので、これは問題ですが、API は有効期限が適用されないことを示すのではなく、誤って null を返します。 |
なし |
| 独立して起動された AppScan Dynamic Analysis Client (ADAC) から、クライアント・サイド証明書またはスマート・カードのオプションを使用して AppScan Enterprise サーバーにサインインしようとすると、次のエラー・メッセージが表示されてログインが失敗します。
|
ADAC を独立して起動するのではなく、AppScan Enterprise ブラウザー・コンソールから起動します。 |
AppScan Enterprise v10.9.1 をアンインストールした後、管理者権限を持っていても、インストール・ディレクトリから一部のファイルやフォルダーを削除できません。エラー・メッセージは、ファイルが javawe.exe プロセスによって使用中であることを示しています。 |
アンインストールが完了したらマシンを再起動します。その後、残りのフォルダー構造を削除できます。 |
Get/issues/{jobId} API から生成された PDF レポートには、次の表示上の問題があります。
|
なし |
| Windows Server 2019 でのアップグレード中に、構成ウィザードが Java 仮想マシン (JVM) の初期化エラー (JVMJ9VM013W) で失敗し、アップグレードが停止する場合があります。 | この問題は、AppScan Enterprise Server サービスまたは Dynamic Analysis Scanner プロセスが応答を停止し、インストーラーがそれらを停止できない場合に発生します。この問題を解決するには:
|
| アクセス制御の破損や非認証ファイルを含むスキャンを AppScan Standard から AppScan Enterprise にプッシュすると、報告された脆弱性が元のスキャンと一致しない場合があります。たとえば、「権限の低いユーザーによるアクセス制御の破損」の脆弱性が欠落していたり、予期しない非認証の問題が表示されたりすることがあります。 | この不一致は通常、2 つの製品間の探索データの違い、または AppScan Enterprise スキャン中の一時的なサーバー・エラー (HTTP 500 など) が原因で発生します。 この問題を解決するには:
|
| 「権限の低いユーザーによるアクセス制御の破損」の脆弱性に対して単一問題の再テストを実行した場合、脆弱性が修正されていなくても、再テスト完了後に問題がレポートから消えます。 | この脆弱性に対して単一問題の再テスト機能を使用しないでください。代わりに、アプリケーションのフル・スキャンを実行して、アクセス制御の破損の脆弱性が解決されたかどうかを確認してください。 |
| モニター・ページから生成されたセキュリティ・レポートでは、一部の問題タイプについて CVSS 4.0 ベクターが 2 回表示される場合があります。これは、サポートされているすべてのレポート形式 (HTML、PDF、XML、および Excel) で断続的に発生します。 | なし |
後処理フェーズ中に、スキャンが予期せず中断され、次のエラー・メッセージが表示される場合があります: 中断されました (不明なエラー: 動的 SQL エラー SQL エラー・コード = -303 不正な形式の文字列) (Suspended (Unknown error: Dynamic SQL Error SQL error code = -303 Malformed string))。 |
なし |
スキャン・ビューから「PDF へのエクスポート (Export to PDF)」または「詳細なセキュリティ問題から PDF (Detailed Security Issues to PDF)」を使用してレポートを生成すると、エラーが発生しました。再試行してください (An error has occurred. Try again) というメッセージが表示される場合があります。 |
なし |