HCL AppScan® Enterprise の新機能

このセクションでは、このリリースでの新しいAppScan Enterprise製品の機能と強化、関連する場合には非推奨および予想される変更について説明します。

HCL AppScan® Enterprise の新機能10.9.1

  • IASTの強化:
  • APIスキャンの強化: このリリースでは、OpenAPI仕様のサポートが追加され、Postmanコレクションのスキャンが改善されることで、APIスキャン機能が強化されます。以下の新しいREST APIエンドポイントが利用可能になりました:
    • POST /jobs/{jobId}/dastconfig/postman/url/add: DASTスキャン構成に、関連する環境およびグローバル変数のURLを含むPostmanコレクションURLを追加することができます。
    • POST /jobs/{jobId}/dastconfig/openapi/add: DASTスキャン構成にOpenAPI記述ファイルを追加できるようにします。
    • POST /jobs/{jobId}/dastconfig/openapi/url/add: URLを使用してDASTスキャン構成にOpenAPI記述を追加することをサポートします。
  • モニタータブのセキュリティ基準とコンプライアンスレポートの更新:
  • WebSocketスキャンサポート:
    • JSONまたはXMLメッセージを使用してデータ交換を行うWebSocketプロトコルのサポート。
  • CWE報告の改善:
    • より包括的な脆弱性評価のために、モニタタブの主要なセキュリティレポートには、主要なCWEに加えて複数のCWEが表示されるようになりました。

APAR 修正リスト

以下のプログラム診断依頼書 (APAR) が修正されました。

APAR 番号 説明
KB0119487 スキャンからインポートされたAppScan Standardの問題数の不一致を解決しました。ここでは、複数の問題が同じ'Item Id'を共有していました。
KB0120978 セルの文字数制限を超える内容がある場合にExcelレポートが生成されない問題を修正しました。
KB0120294 AppScan Standard からアップロードされたスキャン結果が、非英語の言語設定を使用している場合に関連するアプリケーションに表示されない問題を修正しました。

フィックスとセキュリティー更新

このリリースの新しいセキュリティー・ルールには、以下が含まれます。
  • attWordpressGalleryPluginPathTraversalCVE20233279 - WordPress ギャラリープラグイン パストラバーサル CVE-2023-3279
  • attWordPressBackupMigrationplugincve20235737 - WordPressバックアップおよび移行プラグインのアクセス制御の欠陥 CVE-2023-5737
  • attMobileMouseRCECVE202331902 - モバイルマウスリモートコマンド実行 CVE-2023-31902
  • attOpenWireApacheServerRCECVE202346604 - CVE-2023-46604に対するOpenWire Apache ServerのRCE
  • attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348
  • attApacheOFBizRCECVE202438856 - CVE-2024-38856に対するApache OFBizのRCE
  • attCactiRCECVE202425641 - カクタス RCE CVE-2024-25641
  • attLMSBlindSqlInjectionTimeoutCVE20248529 - WordPress LearnpressプラグインSQLインジェクションCVE-2024-8529
  • attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE for CVE-2024-56278
  • JwtWeakSecretKey - 弱いJWT秘密鍵を検出する機能
  • 脆弱性コンポーネントデータベースがバージョン1.7に更新されました。

以下のセキュリティルールが更新されました:

  • LiferayPortalJSONWSRCEIssue - LiferayポータルJSONWSリモートコード実行:ADNSバリアントを追加。
  • attConfluenceRemoteCommandExecutionCVE202126084 - ConfluenceサーバーのWebwork OGNLインジェクション(CVE-2021-26084):2つのTWSバリアント(WgetとCurl)を追加しました。
  • attBlindSqlInjectionTWSMSSQL - MS-SQL用のブラインドSQLインジェクションアウトオブバンド: 4つのTWSバリアントを追加しました(curl + wget、文字列 + 数値)。
  • WeakJWTExpiration - JWT検出用の正規表現を修正しました。
  • attJWTWeakSignature - JWT検出用の正規表現を修正しました。

このリリースの修正、更新、および機能拡張要求(RFE)の完全なリストはこちらに記載されています。

このリリースで変更

  • Underscore.jsライブラリがバージョン1.13.7にアップグレードされました。
  • 最新のセキュリティ修正を組み込むために、Chromium ブラウザ エンジンがバージョン 138.0.7204.96 にアップグレードされました。
  • 包括的なVPAT評価が完了し、WCAG、セクション508、EN 301 549などのアクセシビリティ基準への準拠が文書化されました。詳細については、アクセシビリティ機能AppScan Enterpriseを参照してください。

このリリースでは削除されました

  • このリリースでは、アイテムは削除されていません。

今後の変更

  • AppScan バージョン10.6.0およびそれ以前は、2025年6月までにサポート終了(EOS)を迎えます。その時までに、最新バージョンにアップグレードすることをお勧めします。
  • Microsoft® Windows® 10およびMicrosoft® Windows® Server 2019のサポートは、将来のバージョンで削除されます。AppScan これらのオペレーティング システムの主なサポート期間が終了したためです。
  • Microsoft® Windows® Server 2025のサポートは、今後のリリースで予定されています。
  • 今後のリリースでは、OpenAPI設定用の現在のエンドポイント(.../openapi/url/addおよび.../openapi/add)が、単一の統合REST APIに置き換えられます。新しいAPIでは、認証と追加パラメータのサポートも追加されます。