既知の問題と回避策

既知の問題と回避策を示します。

1. 既知の問題と回避策
問題 回避策

問題のタイプ、重大度、スキャナー、ステータスに基づいて問題を「グループ化」したときに、各カテゴリに 500 を超える問題がある場合、追加の問題は表示されないため、フィルターを使用することをお勧めします。フィルターも、列タイプごとに最大 100 の値を表示するように制限されます。

「グループ化」オプションを削除し、結果の表示に使用する列の種類でデータをソートします。
[コンポーネント] ビューの詳細を、AppScan Enterprise または AppScan Standard からエクスポートまたはインポートすることはできません。ただし、脆弱なコンポーネントを問題としてエクスポートまたはインポートすることはできます。 該当なし
セキュリティ・レポート (xls、Excel、xml、PDF) にコンポーネントの詳細が表示されません。 該当なし
CVE レコードを更新する方法は、設定ウィザードを実行することのみです。AppScan Enterprise のインストール後に導入された新規 CVE は、脆弱なコンポーネントについては特定されません。 該当なし
アクティビティ ログでは、日付フィルターにより、指定された日付範囲よりも 1 日多いデータが表示されます。 該当なし
CVSS 3.1 属性を持たない課題については、期限切れの計算は行われません 該当なし
バージョン 10.1.0 以前でスキャンされたアプリケーションに関連付けられたすべての問題について、 CVSS バージョン = 2.0フィルタを設定すると、CVSS 2.0 と 3.1 の両方の問題を表示することができます。 最初にバージョンに基づいてすべての CVSS 2.0 の問題をリストする、「 CVSS バージョン」列に基づいて問題をソートできます。

IAST .NET エージェントは、一部の .NET フレームワーク・アプリケーションで NuGet としてインストールできず、「Unable to resolve dependency 'MonoModReorg.RuntimeDetour'」というエラーが表示されることがあります。

IAST エージェントをインストールする前に、NuGet: 'MonoModReorg.RuntimeDetour' , バージョン22.11.21- prerelease.2 をインストールします。Visual Studio の [NuGet] タブにあるプレリリース・チェックボックスがオンになっていることを確認します。Visual Studio の「NuGet」タブにある「プレリリース」チェックボックスがオンになっていることを確認します。

これで、IAST エージェントを NuGet としてインストールできます。 LDAP が ASE に構成されている場合、およびスキャナーとサーバーが同じマシンにインストールされている場合は、ユーザー・グループをインポートできず、ユーザー・プロパティーを正しい値で保存できません
Dynamic Analysis Scanner とともに、サーバー構成中に以前選択した「サーバー・コンポーネント」ウィンドウで該当するすべてのコンポーネント (ユーザーの管理/Enterprise Console/IAST) を選択して、構成ウィザードを再実行します。 重大度が「情報」の IAST 問題では、CVSS のバージョンが 3.1 ではなく 2.0 として表示されます。
スキャン状況アラートは、構成済みの E メール・アドレスに送信されません。 アラート・サービスを再開します。
10.0.8 から 10.1.0 にアップグレードすると、IAST Java war エージェントの配置または接続が失敗し、AppScan Enterprise との対話が行われません。 このエージェントを無効にしてから、再度有効にしてください。
AppScan Mobile Analyzer および AppScan Mobile Analyzer IOS スキャナー・プロファイルに関する問題を再インポートすると、エラーが発生します。 「モニター」タブを更新します。
問題を再テストすると、問題が実際に修正されていない場合でも、問題の状況が「修正済み」として報告されることがあります。 サイトで認証が必要な場合は、正しい再テスト状況を提供するために、再テストのスキャン・レベルでログインを必須に設定する必要があります。
問題のタイプ「Spring MVC でのリモート・コマンド実行 (CVE-2022-22965)」を再テストすると、問題が実際に修正されていない場合でも、「再オープン」ではなく「修正済み」として問題の状況が報告されることがあります。 アプリケーションのフル・スキャンを実行して、この問題のタイプが修正されているかどうかを確認することをお勧めします。
「モニター」タブでは、問題をクリックしても問題の詳細は表示されません。代わりに、エラー・メッセージ「CRWAS9999E 不明なエラーが発生しました。」が表示されます。この問題は、問題の詳細のテキスト・コンテンツが大きい場合に発生します。 <ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> に移動し、-Xss1024m という行を jvm.options に追加して、「HCL AppScan Enterprise Server」サービスを再始動します。
エージェント・サービスに「ライセンスの検査」状況が表示されます。 スキャナー・マシンで「HCL AppScan Agent Service」を再始動します。

DAST プロキシーの場合、Firefox ブラウザーを使用してトラフィックを記録しても、「セッション内」は自動的に検出されません。

メイン・ページの URL を選択し、[インセッション] ボタンをクリックして手動でインセッションを追加するか、トラフィックを記録する前に、大量のトラフィックを作成する Firefox プラグイン (Clockify など) を無効にします。
エージェント・サービスに「ライセンスの検査」状況が表示されます。 必要に応じて、OWASP Top 10 2017 を手動で削除し、既存のすべてのスキャンのレポート・パックに OWASP Top 10 2021 を追加してレポート・パックを実行する必要があります。
IAST エージェント・ページでは、次のような UI の不具合が発生する可能性があります。
アクション」ドロップダウンから「キーの生成」ボタンをクリックしても、応答がない。 ページを最新表示して、再試行してください。
キーの生成ポップアップで、[生成] ボタンをクリックしても応答がない。 複数回クリックしないでください。約 1 分間待っても応答がない場合は、ポップアップを閉じてもう一度実行してください。
Node.js エージェントのキーを再生成すると、パッケージ・サイズが大きくなる可能性があります。 ほとんどの場合に機能しているため、これは無視できます。
ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。 エージェント・キーを再生成し、エージェントを再度ダウンロードします。
SAST の問題の場合、インポートされたジョブが「スキャン」タブで実行されると、共通の問題に対して使いやすい名前が生成されるようになりました。「モニター」 タブでは、以前のリリースとの整合性を保つために古い形式の ID が引き続き使用されます。今後、使いやすい名前に更新される予定です。 エージェント・キーを再生成し、エージェントを再度ダウンロードします。機能に影響はありません。
Payment Card Industry Data Security Standard (PCI) レポートの日本語バージョンでは、コンプライアンスの詳細が省略されています。 この問題の詳細については、障害に関する以下の記事を参照してください:https://hcl-software.com/csm?id=kb_article&sysparm_article=KB0094517
AppScan Enterprise UI 言語が英語以外の言語に設定されている場合は、以下の問題が発生する可能性があります。
  • 「モニター」ページで、スキャンの問題の「問題について」ページに移動すると、理由に関する情報は常に英語で表示されます。
  • UI 言語が Espanola (スペイン語) に設定されている場合は、リファレンス API リンクと「修正方法」レポートの内容が英語で表示されます。
  • 「モニター」タブで異なる言語とエクスポートの問題を選択すると、IssueType 名が英語で表示されます。
  • 異なる言語に切り替えると、「スキャン」タブの修正方法(異なるプログラミング言語のコンテンツ)が前の言語で表示されます。
  • ase_plan.pdf ファイルと Readme ファイルは翻訳されません。
言語設定を変更しても、UI 機能は影響を受けません。ただし、この情報が英語になります。
既に使用中のポートにユーザーが修正方法を設定している場合、UI ユーザーが問題の詳細にアクセスして修正方法のリンクにアクセスしようとしても、適切なエラー・メッセージが表示されません。 別のポートに修正方法を指定して、構成ウィザードを再実行します。
ユーザーが ASE UI でユーザー定義テストファイルをアップロードすると、エラーメッセージが表示されます UDT ファイルは、AppScan Enterprise に正常にインポートされます。しかし、ユーザーには UI またはレポートに UDT issueTypeId が「修正方法」の情報が表示されません。
UDT issueTypeId の xml「修正方法」情報を参照するには、次のようにします。
  1. <ASE インストール Dir>\AppScan Enterprise\CustomAdvisory\advisories\archivesフォルダーパスにナビゲートし、対応するUDT IssueTypeName zipファイル (例: UserDefined_UDT1.zip ) を抽出します。
  2. ユーザーは、 <ASE インストール Dir>\AppScan Enterprise\カスタムアドバイザリー\advisories\archives\Advisories\en-USフォルダーパスにあるHow To Fix /アドバイザリー情報xml (例: UserDefined_UDT1.xml ) ファイルを参照できます。
フォルダの許可に変更を加えずに「スキャン」ページからフォルダを編集し、 「保存」ボタンをクリックすると、 Activity Logテーブルにアクション 3 としてマークされたエントリが作成されます。アクション 3 は、フォルダーが編集されたことを示します。 フォルダ許可を編集していない場合は、[キャンセル] ボタンをクリックしてページを終了する必要があります。
ADAC クライアント統合を介してPostmanまたはSoapUIツールによって生成されたトラフィックファイルからドメイン名が除外されていない ( .exd形式のファイル) が API POST/jobs/を使用しています。 {jobId}/dastconfig/upload/{action} トラフィック・ファイルからドメインのトラフィックを除外するには、 .dast.config.harファイルを使用する必要があります。
Windows での AppScan Enterprise サービス・アカウントのユーザー許可の変更時に、スキャン・ジョブが失敗しています。 AppScan Enterprise Server と Scanner マシンの両方で、サービス・アカウント・ユーザーを Windows 管理者グループに追加する必要があります。
AppScan エージェント・サービス・プロセスがタスク・マネージャーによって強制終了されるとき、HCL スキャナー・ライセンスのチェックインが即座に行われません。ライセンスがリリースされるまで、約 15 分かかります。 ライセンスを解放するために、サービスを介して、再度エージェントを始動および停止することが推奨されます。
AppScan Enterprise Server がシャットダウンされる前にユーザーがログアウトしていない場合、オープン・セッションでライセンスがプールにチェックインし直されない可能性があります。これらの残されたライセンスは、2 時間後にチェックインし直されます。 ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。
AppScan Enterprise のインストール中に、アプリケーションがシステム内の新しいバージョンの存在を確認せずに Visual C++ 2015 Redistributable をインストールしようとしているため、より高いバージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。 Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。
製品のインライン・ヘルプは、すべての言語で使用できますが、関連リンクは、日本語、フランス語、中国語 (簡体字)、および中国語 (繁体字) でのみ使用できます。 なし。
拡張ログ・ファイルのサイズが大きい場合 (2GB 以上)、スキャン・タブ概要レポートからのダウンロード・ログ・ファイルの操作の結果、zip ファイルが 0KB になることがあります。 このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリーからファイルをコピーします。
Dynamic Analyze 構成クライアントでスキャンを編集する場合は、編集しているスキャンが AppScan Enterprise で実行されていないことを確認してください。 クライアントの [ジョブのプロパティー] ページで、[すぐにジョブを実行] チェックボックスをオフにし、[ジョブの更新] をクリックします。
スキャン・ジョブに記録されたログインしか含まれていない場合 (マニュアル探査または開始 URL がない場合)、スキャンはそのページの下ではクロールしません。 手動エクスプローラーに少なくとも 1 つの URL を追加するか、 「スキャンの対象」ページの開始 URL を追加します。
エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。 AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワーク・アクティビティーとしてフラグを付ける可能性があるセキュリティー・テストを送信します。
ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。 ジョブ・プロパティー内で正規化ルールが定義されている場合は、それらの結果が有効な URL であることを確認することが重要です。
問題管理がレポートに関して実行された場合、「レポート・パックの概要」レポートがレポート・データと同期しなくなります。 問題管理タスクの完了時に数を同期化するには、レポート・パックを再実行する必要があります。
削除されたレポートは、ダッシュボードからすぐには除去されません。 変更を有効にするには、ダッシュボードを再実行する必要があります。
少なくとも 1 つの URL をマニュアル探査または「スキャン対象」ページの開始 URL に追加してください。 ロケール固有の照合と同様に、 .NETSQLの照合が使用されますが、この製品は ICU に準拠していません。

ADAC のジョブ中断機能が、9.0.3.11 以前で作成したジョブに機能しません。

ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。中断機能では ASE データベースのドメインを読み取っているため、ADAC ジョブに対する中断が機能しなくなっていました。開始 URL は dast.config ファイルに保管されているため、既存のファイルを手動で編集して ASE データベースに保管される URL に保存する必要があります。

  1. ADAC ジョブ (Created before 9.0.3.11 以前で作成したもの) を編集します。
  2. ジョブの更新を実行します。
  3. これによって構成したとおり (コンテンツ・スキャン・ジョブと同じよう) に中断が機能します。

AppScan Standard でスキャンを実行し、結果を AppScan Enterprise で使用するためにレガシー XML ファイルとしてエクスポートした後、この XML ファイルを使用すると、インポートされたジョブとして実行されました。これは、AppScan Enterprise でアプリケーションに関連付けられました。ただし、アクセスした URL は、元の AppScan Standard レポートで使用可能でしたが、生成されたセキュリティレポートには含まれません。

該当なし

AppScan Activity Recorder (AAR) 暗号化されたファイルは、AppScan Enterprise REST API を使用してインポートできます。コンテンツスキャンジョブで、AppScan Dynamic Analysis Client (ADAC) ユーザーインターフェースから直接試行した場合、サポートされません。

方法 1 : 暗号化されたファイルのインポートに AppScan REST API を使用する:

AppScan REST API の使用 ( POST /jobs/{jobId} /dastconfig/upload/{action} ) をクリックして暗号化ファイルをインポートします。この方法を使用すると、ユーザーインターフェースの制限が無視され、AppScan-ADAC に正常にインポートされるため、スキャンが正しく機能します。

方法 2 : 他の記録方法を検討:

暗号化されたログインシーケンスが必要な場合は、ADAC ジョブの実行時に、AAR ではなく ADAC 記録を使用することを検討してください。AAR アップロードで見られる暗号化関連の制限が発生することなく、ADAC 記録を使用すると、より柔軟に対応できる場合があります。

AppScan Enterprise バージョン 10.4.0 では、PDF、HTML、または XML 形式で生成されたセキュリティレポートに、関連付けられた特定の Common脆弱性と公開 (CVE) ID に関係なく、脆弱なコンポーネントのそれぞれの同じ一般的な原因が表示されます。 該当なし
ASEサーバーのSSL証明書が無効(期限切れ、信頼されていない)である場合、ADAC v10.5.0またはv10.5.1をASEサーバーから直接新しいバージョンにアップグレードすることは失敗します。これは、ADAC 10.5.0および10.5.1がより厳しいセキュリティを強制し、無効な証明書でのダウンロードをブロックするためです。

この問題の修正はADACバージョン10.6以降に含まれています。ADAC 10.6以降にアップグレードすると問題が解決します:

  1. FNOから最新のADACバージョン(10.6以降)をダウンロードします。
  2. ダウンロードしたADACバージョンをターゲットマシンにインストールします。
注:
  • この回避策は、ASEサーバーのSSL証明書が無効な場合にのみ適用されます。
  • ASEサーバーのSSL証明書が有効なユーザーにはこの問題は影響しません。
Windows Server 2016をTLS 1.2で使用する場合、OLEDBが正しく機能しません。この問題により、ユーザーがTLS 1.2で安全な接続を維持することができなくなります。

この問題を解決するには、マシンにSQL Native Clientをインストールします。以下のリンクからSQL Native Clientをダウンロードできます:

SQL Native Clientをダウンロード

追加情報:
  • Windows Server 2016でOLEDB機能が必要な場合、一時的な措置としてTLS 1.1にダウングレードすることができます。
  • TLS 1.2を使用したい場合は、Windows Server 2019にアップグレードすることをお勧めします。
AppScan Enterprise v10.6.0では、共通脆弱性評価システム(CVSS)のベクトルは英語でのみ表示されます。非英語のユーザーインターフェイスではベクトルは表示されません。 NA
AppScan Standardのテンプレートに基づくOpenAPIスキャンは、AppScan Enterpriseではサポートされません。 AppScan EnterpriseでOpenAPIスキャンを作成する からAppScan Connect経由でAppScan StandardでOpenAPIスキャンを作成します。
エクスポートされたXLSファイルでは、「ビジネスユニット別の問題の重大度(最大)」および「ビジネスユニット別のセキュリティリスク評価」セクションに、各ビジネスユニット(BU)のフィルタリングされたすべてのアプリケーション数が表示され、実際のアプリケーション数が表示されません。 NA
ダッシュボードでリンクをクリックしても をクリックしても、フィルタはポートフォリオ・タブには引き継がれません。その結果 ポートフォリオ]タブには、フィルタリングされたアプリケーションのみが表示されるのではなく、対応するステータスを持つすべてのアプリケーションが表示されます。が表示されます。 ユーザーは手動でアプリケーションをフィルタリングする必要があります。を手動でフィルタリングする必要があります。
AppScan on CloudからAppScan EnterpriseにSCAの問題をインポートする際、SCAの問題の詳細が表示されません。 パッチを受け取るために、AppScan EnterpriseのL2サポートに連絡してください。
PDFレポートでは、ファイル:またはURL:属性が欠落しています。この属性はエクスポートされたXMLファイルにも存在しないため、PDFまたはHTMLレポートに表示されません。この問題はAppScan Enterprise 10.6.0バージョンで発生しています。 現在、この問題に対する即時の修正はありません。この問題を解決するには、スキーマレベルでの変更が必要です。しかし、次のリリースでソフトウェア構成解析(SCA)の新しいスキャナーが導入され、この問題は解決される予定です。
DASTジョブレポートパックが完了後に正しく表示されない場合があります。 ページをリフレッシュしてレポートパックを再度開いてください。通常、2回目の試みで問題は解決します。