Cisco ASA シリーズ 9.12(x) リリースノート
このドキュメントには、Cisco ASA ソフトウェア バージョン 9.12(x) のリリース情報が記載されています。
特記事項
-
9.12(4.50)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
ASA 5506-X、5508-X、および 5516-X の ROMMON のバージョン 1.1.15 以降へのアップグレード:これらの ASA モデルには新しい ROMMON バージョンがあります(2019 年 5 月 15 日)。最新バージョンにアップグレードすることを強くお勧めします。アップグレードするには、『ASA コンフィギュレーション ガイド』の手順を参照してください。
注意
1.1.15 の ROMMON のアップグレードには、以前の ROMMON バージョンの 2 倍の時間がかかります(約 15 分)。アップグレード中はデバイスの電源を再投入しないでください。アップグレードが 30 分以内に完了しないか、または失敗した場合は、シスコ テクニカル サポートに連絡してください。デバイスの電源を再投入したり、リセットしたりしないでください。
-
ISA 3000 の ROMMON のバージョン 1.0.5 以降へのアップグレード:これらの ISA 3000 には新しい ROMMON バージョンがあります(2019 年 5 月 15 日)。最新バージョンにアップグレードすることを強くお勧めします。アップグレードするには、『ASA コンフィギュレーション ガイド』の手順を参照してください。
注意:1.0.5 の ROMMON のアップグレードには、以前の ROMMON バージョンの 2 倍の時間がかかります(約 15 分)。アップグレード中はデバイスの電源を再投入しないでください。アップグレードが 30 分以内に完了しないか、または失敗した場合は、シスコ テクニカル サポートに連絡してください。デバイスの電源を再投入したり、リセットしたりしないでください。
-
9.12(1) での SSH セキュリティの改善と新しいデフォルト設定:次の SSH セキュリティの改善点を参照してください。
-
SSH バージョン 1 はサポートされなくなりました。バージョン 2 のみがサポートされています。ssh version 1 コマンドは ssh version 2 に移行されます。
-
Diffie-Hellman Group 14 SHA256 キー交換のサポート。この設定がデフォルト(ssh key-exchange group dh-group14-sha256 )になりました。以前のデフォルトは Group 1 SHA1 でした。SSH クライアントが Diffie-Hellman Group 14 SHA256 をサポートしていることを確認してください。サポートしていない場合は、「Couldn't agree on a key exchange algorithm」などのエラーが表示されることがあります。たとえば、OpenSSH では Diffie-Hellman Group 14 SHA256 がサポートされています。
-
HMAC-SHA256 整合性暗号のサポート。デフォルトは、高セキュリティの暗号セット(ssh cipher integrity high コマンドによって定義された hmac-sha2-256 のみ)になりました。以前のデフォルトは中程度のセットでした。
-
-
9.12(1) での Diffie-Hellman グループ 1 の削除:ASA IKE および IPsec モジュールで使用される Diffie-Hellman グループ 1 は安全ではないと見なされ、削除されました。
IKEv1:次のサブコマンドが削除されました。
-
crypto ikev1 policy priority:
-
group 1
-
IKEv2:次のサブコマンドが削除されました。
-
crypto ikev2 policy priority
-
group 1
-
IPsec:次のサブコマンドが削除されました。
-
crypto ipsec profile name
-
set pfs group1
-
SSL:次のコマンドが削除されました。
-
ssl dh-group group1
Crypto Map:次のサブコマンドが削除されました。
-
crypto map name sequence set pfs group1
-
crypto dynamic-map name sequence set pfs group1
-
crypto map name sequence set ikev1 phase1-mode aggressive group1
-
-
ASA 5506-X シリーズおよび ASA 5512-X の ASA FirePOWER モジュールについては、9.10(1) 以降ではサポートされない:ASA 5506-X シリーズおよび 5512-X では、メモリの制約により、9.10(1) 以降で ASA FirePOWER モジュールがサポートされなくなりました。このモジュールの使用を継続するには、9.9(x) 以前の状態のままにしておく必要があります。その他のモジュール タイプは引き続きサポートされます。9.10(1) 以降にアップグレードすると、FirePOWER モジュールにトラフィックを送信するための ASA 設定が消去されます。アップグレード前に設定を必ずバックアップしてください。FirePOWER イメージとその設定は SSD にそのままの状態で保持されます。ダウングレードする場合は、バックアップから ASA 設定をコピーして機能を復元できます。
-
NULL-SHA TLSv1 暗号は廃止され、9.12(1) では削除されている:NULL-SHA は暗号化を提供せず、現在の脅威に対して安全とは見なされなくなったため、tls-proxy mode コマンド/オプションおよび show ssl ciphers all の出力に TLSv1 でサポートされている暗号を一覧表示すると削除されます。ssl cipher tlsv1 all コマンドと ssl cipher tlsv1 custom NULL-SHA コマンドも廃止され、削除されます。
-
ローカル CA サーバーは 9.12(1) で廃止され、以降のリリースで削除される:ASA がローカル CA サーバーとして設定されている場合、デジタル証明書の発行、証明書失効リスト(CRL)の発行、および発行された証明書の安全な取り消しを行うために有効になります。この機能は古くなったため、crypto ca server コマンドは廃止されています。
-
9.12(1) ではデフォルトの trustpool が削除されている:PSB 要件、SEC-AUT-DEFROOT に準拠するため、「デフォルト」の信頼できる CA バンドルが ASA イメージから削除されています。その結果、 crypto ca trustpool import default コマンドと crypto ca trustpool import clean default コマンドも、その他の関連ロジックとともに削除されています。ただし、既存の展開では、これらのコマンドを使用して以前にインポートされた証明書はそのまま残ります。
-
ssl encryption コマンドが 9.12(1) で削除されている:9.3(2) で廃止が発表され、ssl cipher に置き換えられました。9.12(1) では、ssl encryption が削除され、サポートされなくなりました。
システム要件
このセクションでは、このリリースを実行するためのシステム要件を一覧表で示します。
ASA と ASDM の互換性
ASA/ASDM ソフトウェアおよびハードウェアの要件およびモジュールの互換性を含む互換性の詳細については、『Cisco ASA Compatibility』を参照してください。
VPN の互換性
VPN の互換性については、『Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。
新機能
このセクションでは、各リリースの新機能を示します。
(注) |
syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
ASA 9.12(4) の新機能
リリース日:2020 年 5 月 26 日
機能 |
説明 |
---|---|
ルーティング機能 |
|
マルチキャスト IGMP インターフェイスの状態制限の 500 から 5000 への引き上げ |
マルチキャスト IGMP インターフェイスの状態制限が 500 から 5000 に引き上げられました。 新規/変更されたコマンド: igmp limit |
トラブルシューティング機能 |
|
show tech-support コマンドの拡張 |
show ssl objects コマンドと show ssl errors コマンドが show tech-support コマンドの出力に追加されました。 新規/変更されたコマンド: show tech-support |
VPN 機能 |
|
ネゴシエーション中の SA の絶対値としての最大数設定に対するサポート |
ネゴシエーション中の SA の最大数を絶対値として 15000 まで、または最大デバイスキャパシティから得られる最大値を設定できるようになりました(以前はパーセンテージのみが許可されていました)。 新規/変更されたコマンド: crypto ikev2 limit max-in-negotiation-sa value |
ASA 9.12(3) の新機能
リリース日:2019 年 11 月 25 日
このリリースに新機能はありません。
ASA 9.12(2) の新機能
リリース日:2019 年 5 月 30 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 9300 SM-56 のサポート |
セキュリティ モジュール、SM-56 を導入しました。 FXOS 2.6.1.157 が必要です。 変更されたコマンドはありません。 |
管理機能 |
|
SSH キー交換モードの設定は、管理コンテキストに限定されています。 |
管理コンテキストでは SSH キー交換を設定する必要があります。この設定は、他のすべてのコンテキストによって継承されます。 新規/変更されたコマンド: ssh key-exchange |
ASA 9.12(1) の新機能
リリース:2019 年 3 月 13 日
機能 |
説明 |
---|---|
プラットフォーム機能 |
|
Firepower 4115、4125、および 4145 向け ASA |
Firepower 4115、4125、および 4145 が導入されました。 FXOS 2.6.1 が必要です。 変更されたコマンドはありません。 |
ASA および FTD を同じ Firepower 9300 の別のモジュールでサポート |
ASA および FTD 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。 FXOS 2.6.1 が必要です。 変更されたコマンドはありません。 |
Firepower 9300 SM-40 および SM-48 のサポート |
2 つのセキュリティ モジュール、SM-40 および SM-48 が導入されました。 FXOS 2.6.1 が必要です。 変更されたコマンドはありません。 |
ファイアウォール機能 |
|
GTPv1 リリース 10.12 のサポート |
システムで GTPv1 リリース 10.12 がサポートされるようになりました。以前は、リリース 6.1 がサポートされていました。新しいサポートでは、25 件の GTPv1 メッセージおよび 66 件の情報要素の認識が追加されています。 さらに、動作の変更もあります。不明なメッセージ ID が許可されるようになりました。以前は、不明なメッセージはドロップされ、ログに記録されていました。 変更されたコマンドはありません。 |
Cisco Umbrella の強化 |
Cisco Umbrella をバイパスする必要があるローカル ドメイン名を特定できるようになりました。これらのドメインの DNS 要求は、Umbrella を処理せず DNS サーバに直接送信されます。また、DNS 要求の解決に使用する Umbrella サーバも特定できるようになりました。さらに、Umbrella サーバを使用できない場合は、DNS 要求がブロックされないように、Umbrella インスペクション ポリシーをフェール オープンに定義することができます。 新規/変更されたコマンド:local-domain-bypass 、resolver 、umbrella fail-open |
オブジェクト グループの検索しきい値がデフォルトで無効になりました。 |
これまではオブジェクト グループの検索が有効になると、この機能によりしきい値が適用され、パフォーマンスの低下を防止していました。そのしきい値が、デフォルトで無効になりました。しきい値は、object-group-search threshold コマンドを使用して有効にできます。 新規/変更されたコマンド:object-group-search threshold |
NAT のポート ブロック割り当てに対する暫定ログ |
NAT のポート ブロックの割り当てを有効にすると、ポート ブロックの作成および削除中にシステムで syslog メッセージが生成されます。暫定ログの記録を有効にすると、指定した間隔でメッセージ 305017 が生成されます。メッセージは、その時点で割り当てられているすべてのアクティブ ポート ブロックをレポートします(プロトコル(ICMP、TCP、UDP)、送信元および宛先インターフェイス、IP アドレス、ポート ブロックを含む)。 新規/変更されたコマンド:xlate block-allocation pba-interim-logging seconds |
VPN 機能 |
|
debug aaa の新しい condition オプション |
condition オプションが debug aaa コマンドに追加されました。このオプションを使用すると、グループ名、ユーザー名またはピア IP アドレスに基づいて VPN デバッグをフィルタ処理できます。 新規/変更されたコマンド: debug aaa condition |
IKEv2 での RSA SHA-1 のサポート |
IKEv2 の RSA SHA-1 ハッシュ アルゴリズムを使用して署名を生成できるようになりました。 新規/変更されたコマンド: rsa-sig-sha1 |
DES と3DES の両方の暗号化ライセンス、および使用可能な暗号のデフォルトの SSL 設定を表示します。 |
3DES 暗号化ライセンスの有無にかかわらず、デフォルトの SSL 設定を表示できるようになりました。さらに、デバイスでサポートされているすべての暗号を表示することもできます。 新規/変更されたコマンド: show ssl information |
webVPN HSTS へのサブドメインの追加 |
ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。 新規/変更されたコマンド: hostname(config-webvpn) includesubdomains |
ハイ アベイラビリティとスケーラビリティの各機能 |
|
サイトごとのクラスタリング用 Gratuitous ARP |
ASA では、Gratuitous ARP(GARP)パケットを生成してスイッチング インフラストラクチャを常に最新の状態に保つようになりました。各サイトの優先順位値が最も高いメンバによって、グローバル MAC/IP アドレスの GARP トラフィックが定期的に生成されます。クラスタから送信されたサイトごとの MAC および IP アドレスとパケットがサイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。トラフィックがグローバル MAC アドレスから定期的に生成されない場合、グローバル MAC アドレスのスイッチで MAC アドレスのタイムアウトが発生する可能性があります。タイムアウト後にグローバル MAC アドレスへのトラフィックがスイッチング インフラストラクチャ全体にわたりフラッディングされ、これによりパフォーマンスおよびセキュリティ上の問題が発生することがあります。各スパンド EtherChannel のユニットおよびサイト MAC アドレスごとにサイト ID を設定すると、GARP がデフォルトで有効になります。 新規/変更されたコマンド: site-periodic-garp interval |
マルチコンテキストモードの HTTPS リソース管理 |
リソースクラスの非 ASDM HTTPS セッションの最大数を設定できるようになりました。デフォルトでは、制限はコンテキストあたり最大 6 に設定でき、すべてのコンテキスト全体では最大 100 の HTTPS セッションを使用できます。 新規/変更されたコマンド: limit-resource http |
ルーティング機能 |
|
認証のための OSPF キー チェーンのサポート |
OSPF は、MD5 キーを使用してネイバーおよびルート アップデートを認証します。ASA では、MD5 ダイジェストの生成に使用されるキーには関連付けられている有効期間がありませんでした。したがって、キーを定期的に変更するにはユーザーによる介入が必要でした。この制限を打破するために、OSPFv2 は循環キーを使用した MD5 認証をサポートしています。 キー チェーンのキーの承認と送信の有効期間に基づいて、OSPF 認証でキーおよびフォームの隣接関係を承認または拒否します。 新規/変更されたコマンド:accept-lifetime 、area virtual-link authentication 、cryptographic-algorithm 、key 、key chain 、key-string 、ospf authentication 、send-lifetime |
証明書の機能 |
|
登録用 URL のローカル CA を設定可能な FQDN |
ASA の構成済み FQDN を使用する代わりに設定可能な登録用 URL の FQDN を作成するため、新しい CLI オプションが導入されました。この新しいオプションは、crypto ca server の smpt モードに追加されます。 新規/変更されたコマンド: fqdn |
管理、モニタリング、およびトラブルシューティングの機能 |
|
enable ログイン時にパスワードの変更が必要になりました |
デフォルトの enable のパスワードは空白です。ASA で特権 EXEC モードへのアクセスを試行する場合に、パスワードを 3 文字以上の値に変更することが必須となりました。空白のままにすることはできません。no enable password コマンドは現在サポートされていません。 CLI で aaa authorization exec auto-enable を有効にすると、enable コマンド、login コマンド(特権レベル 2 以上のユーザー)、または SSH/Telnet セッションを使用して特権 EXEC モードにアクセスできます。これらの方法ではすべて、イネーブル パスワードを設定する必要があります。 このパスワード変更の要件は、ASDM のログインには適用されません。ASDM のデフォルトでは、ユーザー名を使用せず enable パスワードを使用してログインすることができます。 新規/変更されたコマンド: enable password |
管理セッションの設定可能な制限 |
集約、ユーザー単位、およびプロトコル単位の管理セッションの最大数を設定できます。これまでは、セッションの集約数しか設定できませんでした。この機能がコンソール セッションに影響を与えることはありません。マルチ コンテキスト モードでは HTTPS セッションの数を設定することはできず、最大セッション数は 5 で固定されています。また、quota management-session コマンドはシステム コンフィギュレーションでは受け入れられず、代わりにコンテキスト コンフィギュレーションで使用できるようになっています。集約セッションの最大数が 15 になりました。0(無制限)または 16 以上に設定してアップグレードすると、値は 15 に変更されます。 新規/変更されたコマンド:quota management-session 、show quota management-session |
管理権限レベルの変更通知 |
有効なアクセス(aaa authentication enable console) を認証するか、または特権 EXEC への直接アクセス(aaa authorization exec auto-enable )を許可すると、前回のログイン以降に割り当てられたアクセス レベルが変更された場合に ASA からユーザーへ通知されるようになりました。 新規/変更されたコマンド: show aaa login-history |
IPv6 での NTP サポート |
NTP サーバに IPv6 アドレスを指定できるようになりました。 新規/変更されたコマンド: ntp server |
SSH によるセキュリティの強化 |
次の SSH セキュリティの改善を参照してください。
新規/変更されたコマンド:ssh cipher integrity 、ssh key-exchange group dh-group14-sha256 |
非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可 |
非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。 新規/変更されたコマンド: http server basic-auth-client |
クラスタ制御リンク上でのみのコントロール プレーン パケットのキャプチャ |
クラスタ制御リンク(およびデータ プレーン パケットなし)でのみコントロール プレーン パケットをキャプチャできるようになりました。このオプションは、マルチコンテキスト モードのシステムで、ACL を使用してトラフィックを照合できない場合に役立ちます。 新規/変更されたコマンド: capture interface cluster cp-cluster |
debug conn コマンド |
接続処理を記録する 2 つの履歴メカニズムを提供するために debug conn コマンドが追加されました。1 つ目の履歴リストはスレッドの操作を記録するスレッドごとのリストです。2 つ目の履歴リストは conn グループに操作を記録するリストです。接続が有効になっている場合、接続のロック、ロック解除、削除などの処理イベントが 2 つの履歴リストに記録されます。問題が発生すると、これら 2 つのリストを使用して不正なロジックを判断する処理で確認することができます。 新規/変更されたコマンド: debug conn |
show tech-support に追加の出力が含まれている |
show tech-support の出力が拡張され、次の出力が表示されるようになりました。
新規/変更されたコマンド: show tech-support |
ソフトウェアのアップグレード
このセクションには、アップグレードを完了するためのアップグレードパス情報とリンクが記載されています。
ASA のアップグレードパス
現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。
-
ASDM:
の順に選択します。 -
CLI:show version コマンドを使用します。
次の表に、ASA のアップグレードパスを示します。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要な場合があります。推奨バージョンは太字で示されています。
(注) |
開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。 |
(注) |
(注) |
ASA 9.12(x) は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、 ASA 9.2(x) は ASA 5505 用の最終バージョン、 ASA 9.1(x) は ASA 5510、5520、5540、5550、および 5580 用の最終バージョンです。 |
現在のバージョン |
暫定アップグレードバージョン |
ターゲットバージョン |
---|---|---|
9.10(x) |
— |
次のいずれかになります。 → 9.12(x) |
9.9(x) |
— |
次のいずれかになります。 → 9.12(x) |
9.8(x) |
— |
次のいずれかになります。 → 9.12(x) |
9.7(x) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) |
9.6(x) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) |
9.5(x) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) |
9.4(x) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) |
9.3(x) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) |
9.2(x) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) |
9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
9.1(1) |
→ 9.1(2) |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
9.0(2)、9.0(3)、または 9.0(4) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.6(x) → 9.1(7.4) |
9.0(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
8.6(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
8.5(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
8.4(5+) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) → 9.0(4) |
8.4(1) ~ 8.4(4) |
→ 9.0(4) |
→ 9.12(x) → 9.8(x) → 9.1(7.4) |
8.3(x) |
→ 9.0(4) |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
8.2(x) 以前 |
→ 9.0(4) |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
アップグレードリンク
アップグレードを完了するには、『ASA アップグレード ガイド』を参照してください。
未解決のバグおよび解決されたバグ
このリリースで未解決のバグおよび解決済みのバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。
(注) |
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントがない場合は、アカウントを登録できます。シスコサポート契約がない場合は、ID でのみバグを探すことができます。検索は実行できません。 |
Cisco Bug Search Tool の詳細については、Bug Search Tool(BST)ヘルプおよび FAQ を参照してください。
バージョン 9.12(x) で未解決のバグ
次の表に、このリリースノートの発行時点で未解決のバグを示します。
問題 ID 番号 |
説明 |
---|---|
ACE の追加/削除、ACL オブジェクト/オブジェクトグループの編集で TCM が機能しない |
|
アクティブな IGMP join でマスターロールの変更を実行中にクラッシュが発生した |
|
ASA ScanSafe コネクタのセカンダリ CWS タワーへのフェールオーバーに時間がかかりすぎる |
|
spin_lock_release_actual での ASA トレースバック |
|
無効な TSC 値による Lina のトレースバック |
|
SSH、ssh_exec を実行できない:コンソールでの open(pager) エラー |
|
2100 でのトレースバック:ウォッチドッグ |
|
Cisco Firepower Threat Defense ソフトウェアのパケットにおけるサービス拒否攻撃に対する脆弱性 |
|
9.12.1 へのアップグレード時に HTTP CLI Exec でトレースバックする |
|
ASAv のダウングレード時に、ファイアウォールがトレースバックしてリロードすることがある |
|
ASA:IPv6 の名前エイリアスを識別できず、「incomplete command」エラーメッセージが表示される |
|
ASA/FTD:同じサービスの NAT ルールがエラー「エラー:NAT がポートを予約できません(ERROR: NAT unable to reserve ports)」を 2 回表示する |
|
ASA scp がかなり遅い |
|
2 つ以上の同時 ASDM セッションを確立できない |
|
出力最適化機能による 9344 ブロックサイズの枯渇による FTD トラフィックの停止 |
|
vpn-sessiondb がスタンバイ ASA に複製されない |
|
ASA/FTD がスレッド名「BGP Router」でトレースバックし、リロードすることがある |
|
FPR 2100、low block 9472 がデバイスを介してパケット損失を発生させる |
|
IPv6 デフォルトルートを追加すると CLI が 50 秒間ハングする |
|
FTD での OpenSSL の脆弱性 CVE-2019-1559 |
|
rest-api agent を有効にすると HTTP CLI Exec でトレースバックする |
|
FTD:HA を中断し、グレースフルリスタートが設定にある場合に展開が失敗する |
|
Cisco ASA ソフトウェアのケルベロス認証バイパスの脆弱性 |
|
FreeBSD システムのトラフィックの中断 |
|
HA-IKEv2 のクリプトマップ設定で逆ルートを設定した後でも V ルートが見つからない |
|
SNMP:フェールオーバーリンクの情報をマルチモードの OID から取得できない |
|
マルチコンテキスト 5585 ASA、透過的コンテキストで管理インターフェイス設定が失われる |
|
tcp-proxy でのトレースバック |
|
Cisco Firepower 1000 シリーズの SSL/TLS におけるサービス拒否攻撃に対する脆弱性 |
|
ASA で SFP のホットスワップが有効になっていない |
|
次のハブが同じである場合に AD を持つと同時にトンネリングされたデフォルトルートが必要になる |
|
暗号 PKI の動作に関連して ASA がトレースバックおよびリロードする |
|
動的フローオフロードを無効にできない |
|
CLI 「Show nat pool」の ASA トレースバックとリロード |
|
Ikev2 デーモンでの ASA トレースバック |
|
リロード後に PPPoE セッションが起動しない |
|
Cisco Firepower Threat Defense ソフトウェア管理アクセスリストバイパスの脆弱性 |
|
ASA:SSH と ASDM セッションが CLOSE_WAIT でスタックし、ASA の MGMT が不足する |
|
実際には失敗しているポリシー展開が FMC で成功したとレポートされる |
|
Cisco Umbrella DNS インスペクションの実行中に ASA でブロックリークが発生する |
|
メモリが少ないとカーネルが起動し(OOM)、デバイスがリロードされ、KP の rlimit が変更される |
|
入力 FTD インターフェイスに挿入された誤ったパケットによりスイッチ上で Mac アドレスがフラップする |
|
ASA が display_hole_og でトレースバックすることがある |
|
FMC から ACP を展開した後、FPR2110 で HA FTD がトレースバックする |
|
PBR に設定されたアクセスリストからのルールの削除時の snp_policy_based_route_lookup でのトレースバック |
|
リロードの問題によってデュアルスタック ASAv フェールオーバーがトリガーされる |
|
一部の 3DES 関連の設定がブート後に失われる |
|
ASA トレースバック:SCTP バルク同期と HA 同期 |
|
ASA はアカウンティングパケットでマスクを送信していない |
|
BGP 経由でデフォルトルートを学習後、ASA スタティックルートが ASP テーブルから消える |
|
アイデンティティ NAT トラフィックに対して MAC の書き換えが実行される |
|
スレッド名「cli_xml_server」で FTD/LINA がトレースバックし、リロードされる |
|
ルールの作成に失敗したときにクリーンアップが行われない |
|
Cisco ASA および FTD ソフトウェアのパストラバーサルの脆弱性 |
|
スレッド名「cli_xml_server」で FTD/LINA がトレースバックし、リロードされる |
|
リロード後の ASA のライセンスコンテキスト数がプラットフォームの制限を超える |
|
新しいスタティックスポークを追加または変更した場合、新しいスタティックハブ/スポーク設定の RRI がハブで動作しない |
|
設定がスタンバイから削除され、アクティブ時に展開が失敗する |
|
PBR 設定がプッシュされているときに FTD 展開時に LINA がトレースバックする |
|
FTD クラスタを自動で再参加させることができない |
|
セカンダリユニットが、フェールオーバー リンク ダウン時のスプリット ブレイン シナリオでプラットフォーム コンテキスト カウント制限を超過する |
|
フェールオーバーリンクでのパケット損失時に設定が複製されないことがある |
|
TLS トラッカー(tls_trk_sniff_for_tls)がブロックを解放しようとすると、FTD がトレースバックする |
|
書き込み中に I / O エラーが発生する(fd='28', error='Resource temporarily unavailable (11)') |
|
Cisco Adaptive Security Appliance と Firepower Threat Defense ソフトウェアリモート |
|
re_multi_match_ascii によるデータパスでの ASA のトレースバック/ページフォルト |
|
show run all で HSTS 設定オプションが更新されない |
|
Azure で FTDv 展開を行うと、「no dns domain-lookup any」により回復不能なトレース状態が発生する |
|
Cisco ASA および Cisco FTD ソフトウェアの OSPF パケット処理によるメモリリークの脆弱性 |
|
ASA/FTD がスレッド名「PTHREAD-1533」でトレースバックおよびリロードすることがある |
|
スレッド DATAPATH-0-2064 で ASA がトレースバックし、リロードする |
|
FTD のデバイスモードの変更時に Lina がトレースバックする |
|
ASA OSPF:トポロジが変更されると RIB からプレフィックスが削除され、別の SPF が実行されると再び追加される |
|
クラスタリングモジュールは、タイムアウトエラーとクロックジャンプを回避するために、ハードウェアクロックの更新をスキップする必要がある |
|
ASA:ssh または fover_rx スレッドで 9.8.4.12 がトレースバックし、リロードする |
|
デクリメント TTL で間違った結果が表示される |
|
SIP インスペクションが有効になっていると、スレッド DATAPATH-1-15076 で FTD がトレースバックし、リロードする |
|
ASA トレースバック:sctpProcessNextSegment - SCTP_INIIT_CHUNK |
|
3 つ以上のインラインセットを介してトラフィックを処理すると、FP2100 がトレースバックし、リロードする |
|
エラー:IPv6 ICMP の設定時に ::/0 のエントリが存在する |
|
SSL ポリシーが有効な場合にネットワークパフォーマンスが低下する |
|
ホストとホストグループが設定された SNMP ポーリングが失敗する |
|
ASA の mroute エントリが更新されない |
|
アサーション slib_malloc.c を使用したスレッド名 SSH での ASA トレースバック |
|
高負荷状態で SSL トラフィックを処理するときのトレースバック |
|
ASA が「DATAPATH-12-1899」プロセスの完了を待っているときにトレースバックし、リロードすることがある |
|
ASA が「%ASA-5-321001: Resource 'memory' limit'」メッセージで負のメモリ値を報告する |
|
OSPF Hello により 9K ブロックが枯渇し、制御ポイントの CPU が 100% になり、クラスタが不安定になる |
|
出力最適化処理をオフにする |
|
ASA/FTD がスレッド名「EIGRP-IPv4」でトレースバックし、リロードすることがある |
|
バージョン 9.6.4.34 へのアップグレード後、アクセスグループを追加できない |
|
syslog のタイムスタンプ形式が一貫していない |
|
データチャネルがネゴシエートされていない場合は ASA が SSH タイムアウトを実行しない |
|
ICMP が機能せず、「inspect-icmp-seq-num-not-matched」によって失敗する |
|
AnyConnect 4.8 が FPR1000 シリーズで動作していない |
|
アグレッシブ警告メッセージのためにセカンダリ ASA がフェールオーバーに参加できない |
|
再アクティブ化モードが時間切れになることで、障害が発生したサーバーが不適切なタイミングで再アクティブ化される |
|
コマンド「clear capture/」を実行している場合の ASA トレースバックとリロード |
|
ASA が同時に 2 つの UDP ポートに syslog を送信できない |
|
Cisco ASA および Cisco FTD の不正な OSPF パケット処理によるサービス拒否攻撃に対する脆弱性 |
|
AnyConnect からのデバイス ID が長すぎると、ASA が不正な形式の RADIUS メッセージを送信する |
|
AnyConnect セッションが誤って制限されている |
|
ACL で一致した場合に ICMP 応答がドロップされた |
|
Float-Conn が有効になっている場合、ASA/FTD トンネルスタティックルートが準最適なルックアップによって無視される |
|
OID「cipSecGlobalActiveTunnels」について間違った値がレポートされる(ASDM と同様) |
|
SAML トークンがハッシュテーブルから削除されない |
|
IKEv2 vpn-filter がボリュームベースのキー再生成コリジョン後に暗黙的な拒否によりトラフィックをドロップする |
|
管理デフォルトルートがデフォルト データ ルーティングと競合する |
|
IPsec message handler スレッドでの ASA のトレースバック |
|
FXOS 2.6(1.174) にリストされているモジュールのバージョンが間違っている |
|
トレースバック:spin_lock_fair_mode_enqueue:ロック(np_conn_shrlock_t)が長期間にわたって保持されている |
|
スレッド名での ASA/FTD のトレースバック:DNS インスペクションによる DATAPATH |
|
スレッド名 IKE Daemon での ASA のトレースバック |
|
ASA キャプチャで FP41xx の不正なインターフェイスが適用される |
|
マルチコンテキストモードで CSCvs31470 に対処するためのプレースホルダ |
|
ASA SIP 接続が連続した複数回のフェールオーバー後にドロップする:ピンホールタイムアウト/インスペクションによるクローズ |
|
ASA:バックアップコンテキストが失敗し「ERROR: No such file or directory」と表示される |
|
バージョン 9.8 へのアップグレードにポートチャネルのバンドルに失敗する |
|
ASA/FTD がスレッド名「License Thread」でトレースバックおよびリロードすることがある |
|
FTD トレースバック Lina プロセス |
|
FPR-1000 シリーズのランダム番号生成エラー |
|
フラッシュファイルシステムでのクローズ時の fsync コールの数を減らす |
|
無効な scp セッションが他のアクティブな http と scp のセッションを終了させる |
|
LINA 設定がプッシュされなかったにもかかわらず、展開は正常としてマークされる |
|
FPR9300 3 ノードクラスタのネストされた VLAN トラフィックで 9.12.2.151 snp_cluster_ingress がトレースバックする |
|
クラスタ展開でのファイアウォールで SCTP ハートビートが失敗する |
|
サーバーが管理インターフェイスを介して到達可能な場合、IPv6 DNS サーバーの解決が失敗する |
|
フローオフロードが FTD 6.2(3.10) と FXOS 2.6(1.169) の組み合わせで機能しない |
|
ASA でのキャプチャを使用して設定すると、誤ったアクセスリストのヒットカウントが表示される |
|
DOC:show asp dropでの mp-svc-flow-control の意味を明確にする |
|
ASA/FTD がスレッド名「ssh」でトレースバックし、リロードすることがある |
|
ASA:Unicorn Admin Handler スレッドでのトレースバック |
|
ASA:一致する暗号マップエントリがないため、VTI が IPSec トンネルを拒否する |
|
Cisco ASA および FTD ソフトウェアの Web サービスに関する情報漏洩の脆弱性 |
|
スレッド「ctm_ipsec_display_msg」での FTD のトレースバック |
|
ASA のリブート後、ASA クラスタの Health-check monitor-interface debounce-time が 9000ms にリセットされる |
|
データを復旧するための、VPN フェールオーバーリカバリに約 30 秒かかる |
|
FTD:lina_host_file_open_raw 関数に関連するトレースバックとリロード |
|
ASA:OSPF 同期中の設定同期状態時のアクティブユニットの HA トレースバックとリロード |
|
ASAv が IPv6 を使用してスマートライセンスを登録できない |
|
セカンダリインターフェイスが FTD で使用されている場合、アクティブ FTP が失敗する |
|
スタンバイからのフェールオーバー切り替え実行中に KP でのクラッシュが確認された |
|
sctp-state-bypass がインライン FTD に対して呼び出されない |
|
ランダム VPN ピアの IPSec SA が作成されない |
|
9.8 トレインで SSH バージョン2を有効にする場合に Encryption-3DES-AES が必要であってはならない |
|
IP ヘッダーの長さがパケット長と一致しない場合に暗号リングが停止する |
|
Firepower 1000 シリーズで ASA LDAPS 接続が失敗する |
|
FPR2100 「show crypto accelerator statistics」 カウンタは対称暗号を追跡しない |
|
ASA での 80 サイズのブロックの枯渇によりトラフィックが停止する |
|
remote acess mib:ラップアラウンド前に SNMP 64ビットのみが 4Gb を報告する |
|
「Show crypto accelerator load-balance detail」が欠落しており、出力が未定義 |
|
RRI ルートの削除時にスレーブユニットでルートフォールバックが発生しない |
|
NetFlow のレポートのフローのバイト数が非常に大きい |
|
Firepower 4120 の最大 VPN セッション制限を 20,000 に調整する |
|
ASA:AnyConnect の Radius Acct-Requests に acct-session-time アカウンティング属性がない |
|
ASA デバイスの ユーザー名 enable_15 に対する TACACS フォールバック認証が失敗する |
|
FP2120 LINA アクティブボックスでの FTD のトレースバックとリロード。[VPN] |
|
FPR2100 で FTD をリロードした後、VPN でアドバタイズされたスタティックルートの再配布が失敗する |
|
FP1000/1100 シリーズプラットフォームの FTD で時刻同期が正しく機能しない |
|
診断インターフェイスを介して SNMP トラップを生成できない |
解決済みのバグ
このセクションでは、リリースごとに解決済みのバグを一覧表で示します。
バージョン 9.12(4) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
問題 ID 番号 |
説明 |
---|---|
ACE の追加/削除、ACL オブジェクト/オブジェクトグループの編集で TCM が機能しない |
|
ASA ScanSafe コネクタのセカンダリ CWS タワーへのフェールオーバーに時間がかかりすぎる |
|
spin_lock_release_actual での ASA トレースバック |
|
無効な TSC 値による Lina のトレースバック |
|
SSH、ssh_exec を実行できない:コンソールでの open(pager) エラー |
|
2100 でのトレースバック:ウォッチドッグ |
|
Cisco Firepower Threat Defense ソフトウェアのパケットにおけるサービス拒否攻撃に対する脆弱性 |
|
9.12.1 へのアップグレード時に HTTP CLI Exec でトレースバックする |
|
ASAv のダウングレード時に、ファイアウォールがトレースバックしてリロードすることがある |
|
FTD/ASA:クラスタ/HA : マスター/アクティブ ユニットではすべてのルート変更がスレーブ/スタンバイに更新されない |
|
ASA:IPv6 の名前エイリアスを識別できず、「incomplete command」エラーメッセージが表示される |
|
ASA/FTD:同じサービスの NAT ルールがエラー「エラー:NAT がポートを予約できません(ERROR: NAT unable to reserve ports)」を 2 回表示する |
|
ASA scp がかなり遅い |
|
2 つ以上の同時 ASDM セッションを確立できない |
|
出力最適化機能による 9344 ブロックサイズの枯渇による FTD トラフィックの停止 |
|
vpn-sessiondb がスタンバイ ASA に複製されない |
|
ASA/FTD がスレッド名「BGP Router」でトレースバックし、リロードすることがある |
|
OSPFv3 ネイバーシップが約 30 分ごとにフラッピングしている |
|
FPR 2100、low block 9472 がデバイスを介してパケット損失を発生させる |
|
IPv6 デフォルトルートを追加すると CLI が 50 秒間ハングする |
|
FTD での OpenSSL の脆弱性 CVE-2019-1559 |
|
rest-api agent を有効にすると HTTP CLI Exec でトレースバックする |
|
FTD:HA を中断し、グレースフルリスタートが設定にある場合に展開が失敗する |
|
Cisco ASA ソフトウェアのケルベロス認証バイパスの脆弱性 |
|
FreeBSD システムのトラフィックの中断 |
|
HA-IKEv2 のクリプトマップ設定で逆ルートを設定した後でも V ルートが見つからない |
|
SNMP:フェールオーバーリンクの情報をマルチモードの OID から取得できない |
|
マルチコンテキスト 5585 ASA、透過的コンテキストで管理インターフェイス設定が失われる |
|
tcp-proxy でのトレースバック |
|
Cisco Firepower 1000 シリーズの SSL/TLS におけるサービス拒否攻撃に対する脆弱性 |
|
ASA で SFP のホットスワップが有効になっていない |
|
次のハブが同じである場合に AD を持つと同時にトンネリングされたデフォルトルートが必要になる |
|
暗号 PKI の動作に関連して ASA がトレースバックおよびリロードする |
|
動的フローオフロードを無効にできない |
|
CLI 「Show nat pool」の ASA トレースバックとリロード |
|
Ikev2 デーモンでの ASA トレースバック |
|
リロード後に PPPoE セッションが起動しない |
|
Cisco Firepower Threat Defense ソフトウェア管理アクセスリストバイパスの脆弱性 |
|
ASA:SSH と ASDM セッションが CLOSE_WAIT でスタックし、ASA の MGMT が不足する |
|
実際には失敗しているポリシー展開が FMC で成功したとレポートされる |
|
Cisco Umbrella DNS インスペクションの実行中に ASA でブロックリークが発生する |
|
メモリが少ないとカーネルが起動し(OOM)、デバイスがリロードされ、KP の rlimit が変更される |
|
入力 FTD インターフェイスに挿入された誤ったパケットによりスイッチ上で Mac アドレスがフラップする |
|
ASA が display_hole_og でトレースバックすることがある |
|
FMC から ACP を展開した後、FPR2110 で HA FTD がトレースバックする |
|
PBR に設定されたアクセスリストからのルールの削除時の snp_policy_based_route_lookup でのトレースバック |
|
リロードの問題によってデュアルスタック ASAv フェールオーバーがトリガーされる |
|
一部の 3DES 関連の設定がブート後に失われる |
|
ASA トレースバック:SCTP バルク同期と HA 同期 |
|
ASA はアカウンティングパケットでマスクを送信していない |
|
BGP 経由でデフォルトルートを学習後、ASA スタティックルートが ASP テーブルから消える |
|
アイデンティティ NAT トラフィックに対して MAC の書き換えが実行される |
|
スレッド名「cli_xml_server」で FTD/LINA がトレースバックし、リロードされる |
|
ルールの作成に失敗したときにクリーンアップが行われない |
|
Cisco ASA および FTD ソフトウェアのパストラバーサルの脆弱性 |
|
スレッド名「cli_xml_server」で FTD/LINA がトレースバックし、リロードされる |
|
リロード後の ASA のライセンスコンテキスト数がプラットフォームの制限を超える |
|
新しいスタティックスポークを追加または変更した場合、新しいスタティックハブ/スポーク設定の RRI がハブで動作しない |
|
設定がスタンバイから削除され、アクティブ時に展開が失敗する |
|
PBR 設定がプッシュされているときに FTD 展開時に LINA がトレースバックする |
|
FTD クラスタを自動で再参加させることができない |
|
セカンダリユニットが、フェールオーバー リンク ダウン時のスプリット ブレイン シナリオでプラットフォーム コンテキスト カウント制限を超過する |
|
フェールオーバーリンクでのパケット損失時に設定が複製されないことがある |
|
TLS トラッカー(tls_trk_sniff_for_tls)がブロックを解放しようとすると、FTD がトレースバックする |
|
書き込み中に I / O エラーが発生する(fd='28', error='Resource temporarily unavailable (11)') |
|
Cisco Adaptive Security Appliance と Firepower Threat Defense ソフトウェアリモート |
|
re_multi_match_ascii によるデータパスでの ASA のトレースバック/ページフォルト |
|
show run all で HSTS 設定オプションが更新されない |
|
Azure で FTDv 展開を行うと、「no dns domain-lookup any」により回復不能なトレース状態が発生する |
|
Cisco ASA および Cisco FTD ソフトウェアの OSPF パケット処理によるメモリリークの脆弱性 |
|
ASA/FTD がスレッド名「PTHREAD-1533」でトレースバックおよびリロードすることがある |
|
スレッド DATAPATH-0-2064 で ASA がトレースバックし、リロードする |
|
FTD のデバイスモードの変更時に Lina がトレースバックする |
|
ASA OSPF:トポロジが変更されると RIB からプレフィックスが削除され、別の SPF が実行されると再び追加される |
|
クラスタリングモジュールは、タイムアウトエラーとクロックジャンプを回避するために、ハードウェアクロックの更新をスキップする必要がある |
|
ASA:ssh または fover_rx スレッドで 9.8.4.12 がトレースバックし、リロードする |
|
デクリメント TTL で間違った結果が表示される |
|
SIP インスペクションが有効になっていると、スレッド DATAPATH-1-15076 で FTD がトレースバックし、リロードする |
|
ASA トレースバック:sctpProcessNextSegment - SCTP_INIIT_CHUNK |
|
3 つ以上のインラインセットを介してトラフィックを処理すると、FP2100 がトレースバックし、リロードする |
|
エラー:IPv6 ICMP の設定時に ::/0 のエントリが存在する |
|
SSL ポリシーが有効な場合にネットワークパフォーマンスが低下する |
|
ホストとホストグループが設定された SNMP ポーリングが失敗する |
|
ASA の mroute エントリが更新されない |
|
アサーション slib_malloc.c を使用したスレッド名 SSH での ASA トレースバック |
|
高負荷状態で SSL トラフィックを処理するときのトレースバック |
|
ASA が「DATAPATH-12-1899」プロセスの完了を待っているときにトレースバックし、リロードすることがある |
|
ASA が「%ASA-5-321001: Resource 'memory' limit'」メッセージで負のメモリ値を報告する |
|
OSPF Hello により 9K ブロックが枯渇し、制御ポイントの CPU が 100% になり、クラスタが不安定になる |
|
出力最適化処理をオフにする |
|
ASA/FTD がスレッド名「EIGRP-IPv4」でトレースバックし、リロードすることがある |
|
バージョン 9.6.4.34 へのアップグレード後、アクセスグループを追加できない |
|
syslog のタイムスタンプ形式が一貫していない |
|
データチャネルがネゴシエートされていない場合は ASA が SSH タイムアウトを実行しない |
|
ICMP が機能せず、「inspect-icmp-seq-num-not-matched」によって失敗する |
|
AnyConnect 4.8 が FPR1000 シリーズで動作していない |
|
アグレッシブ警告メッセージのためにセカンダリ ASA がフェールオーバーに参加できない |
|
再アクティブ化モードが時間切れになることで、障害が発生したサーバーが不適切なタイミングで再アクティブ化される |
|
コマンド「clear capture/」を実行している場合の ASA トレースバックとリロード |
|
ASA が同時に 2 つの UDP ポートに syslog を送信できない |
|
Cisco ASA および Cisco FTD の不正な OSPF パケット処理によるサービス拒否攻撃に対する脆弱性 |
|
AnyConnect からのデバイス ID が長すぎると、ASA が不正な形式の RADIUS メッセージを送信する |
|
AnyConnect セッションが誤って制限されている |
|
ACL で一致した場合に ICMP 応答がドロップされた |
|
Float-Conn が有効になっている場合、ASA/FTD トンネルスタティックルートが準最適なルックアップによって無視される |
|
OID「cipSecGlobalActiveTunnels」について間違った値がレポートされる(ASDM と同様) |
|
SAML トークンがハッシュテーブルから削除されない |
|
IKEv2 vpn-filter がボリュームベースのキー再生成コリジョン後に暗黙的な拒否によりトラフィックをドロップする |
|
管理デフォルトルートがデフォルト データ ルーティングと競合する |
|
IPsec message handler スレッドでの ASA のトレースバック |
|
FXOS 2.6(1.174) にリストされているモジュールのバージョンが間違っている |
|
トレースバック:spin_lock_fair_mode_enqueue:ロック(np_conn_shrlock_t)が長期間にわたって保持されている |
|
スレッド名での ASA/FTD のトレースバック:DNS インスペクションによる DATAPATH |
|
スレッド名 IKE Daemon での ASA のトレースバック |
|
ASA キャプチャで FP41xx の不正なインターフェイスが適用される |
|
マルチコンテキストモードで CSCvs31470 に対処するためのプレースホルダ |
|
ASA SIP 接続が連続した複数回のフェールオーバー後にドロップする:ピンホールタイムアウト/インスペクションによるクローズ |
|
ASA:バックアップコンテキストが失敗し「ERROR: No such file or directory」と表示される |
|
バージョン 9.8 へのアップグレードにポートチャネルのバンドルに失敗する |
|
ASA/FTD がスレッド名「License Thread」でトレースバックおよびリロードすることがある |
|
FTD トレースバック Lina プロセス |
|
FPR-1000 シリーズのランダム番号生成エラー |
|
フラッシュファイルシステムでのクローズ時の fsync コールの数を減らす |
|
無効な scp セッションが他のアクティブな http と scp のセッションを終了させる |
|
LINA 設定がプッシュされなかったにもかかわらず、展開は正常としてマークされる |
|
FPR9300 3 ノードクラスタのネストされた VLAN トラフィックで 9.12.2.151 snp_cluster_ingress がトレースバックする |
|
Cisco ASA ソフトウェアおよび FTD ソフトウェア Web サービスの読み取り専用パストラバーサルの脆弱性 |
|
クラスタ展開でのファイアウォールで SCTP ハートビートが失敗する |
|
サーバーが管理インターフェイスを介して到達可能な場合、IPv6 DNS サーバーの解決が失敗する |
|
フローオフロードが FTD 6.2(3.10) と FXOS 2.6(1.169) の組み合わせで機能しない |
|
ASA でのキャプチャを使用して設定すると、誤ったアクセスリストのヒットカウントが表示される |
|
DOC:show asp dropでの mp-svc-flow-control の意味を明確にする |
|
ASA/FTD がスレッド名「ssh」でトレースバックし、リロードすることがある |
|
ASA:Unicorn Admin Handler スレッドでのトレースバック |
|
ASA:一致する暗号マップエントリがないため、VTI が IPSec トンネルを拒否する |
|
Cisco ASA および FTD ソフトウェアの Web サービスに関する情報漏洩の脆弱性 |
|
スレッド「ctm_ipsec_display_msg」での FTD のトレースバック |
|
ASA のリブート後、ASA クラスタの Health-check monitor-interface debounce-time が 9000ms にリセットされる |
|
データを復旧するための、VPN フェールオーバーリカバリに約 30 秒かかる |
|
FTD:lina_host_file_open_raw 関数に関連するトレースバックとリロード |
|
ASA:OSPF 同期中の設定同期状態時のアクティブユニットの HA トレースバックとリロード |
|
ASAv が IPv6 を使用してスマートライセンスを登録できない |
|
セカンダリインターフェイスが FTD で使用されている場合、アクティブ FTP が失敗する |
|
スタンバイからのフェールオーバー切り替え実行中に KP でのクラッシュが確認された |
|
sctp-state-bypass がインライン FTD に対して呼び出されない |
|
ランダム VPN ピアの IPSec SA が作成されない |
|
9.8 トレインで SSH バージョン2を有効にする場合に Encryption-3DES-AES が必要であってはならない |
|
IP ヘッダーの長さがパケット長と一致しない場合に暗号リングが停止する |
|
Firepower 1000 シリーズで ASA LDAPS 接続が失敗する |
|
FPR2100 「show crypto accelerator statistics」 カウンタは対称暗号を追跡しない |
|
ASA での 80 サイズのブロックの枯渇によりトラフィックが停止する |
|
ASA トレースバックスレッド名:webvpn_task |
|
remote acess mib:ラップアラウンド前に SNMP 64ビットのみが 4Gb を報告する |
|
「Show crypto accelerator load-balance detail」が欠落しており、出力が未定義 |
|
RRI ルートの削除時にスレーブユニットでルートフォールバックが発生しない |
|
NetFlow のレポートのフローのバイト数が非常に大きい |
|
Firepower 4120 の最大 VPN セッション制限を 20,000 に調整する |
|
ASA:AnyConnect の Radius Acct-Requests に acct-session-time アカウンティング属性がない |
|
ASA デバイスの ユーザー名 enable_15 に対する TACACS フォールバック認証が失敗する |
|
FP2120 LINA アクティブボックスでの FTD のトレースバックとリロード。[VPN] |
|
FPR2100 で FTD をリロードした後、VPN でアドバタイズされたスタティックルートの再配布が失敗する |
|
FP1000/1100 シリーズプラットフォームの FTD で時刻同期が正しく機能しない |
|
診断インターフェイスを介して SNMP トラップを生成できない |
バージョン 9.12(3) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
問題 ID 番号 |
説明 |
---|---|
スレッド名 DATAPATH-2-1785 でのトレースバック |
|
ASA IKEv2 が aaa セッションを開けない:「セッション数の上限 [2048] に達しました(session limit [2048] reached)」 |
|
スレッドでの ASA トレースバック:DATAPATH-8-2035 |
|
アクティブユニット(cachefs_umount を含む)から設定を同期する際の ASA トレースバック(ウォッチドッグタイムアウト) |
|
ASA の DATAPATH でのトレースバック |
|
ルート トラッキング エラー |
|
HA リンクでのポートチャネルの問題 |
|
IKEv2:IKEv2-PROTO-2:「プラットフォームからの PSH の割り当てに失敗しました(IKEv2-PROTO-2: Failed to allocate PSH from platform)」 |
|
tcp プロキシ:データパスでの ASA のトレースバック |
|
BGP のグレースフルリスタートが断続的に動作しなくなる |
|
SDI - 一時停止されたサーバーにより、正常なサーバーでの認証の完了に 15 秒の遅延が発生する |
|
FTD でコントロールプレーン ACL が正しく機能しない |
|
範囲外の allocate-interface コマンドによる ASA マルチコンテキストのトレースバックとリロード |
|
メモリが不足している FTD で展開を行うとインターフェイス nameif が削除される:finetune mmap thresh |
|
クラスタがスレーブユニットで有効になっている場合にスレッドロガーで ASA がトレースバックすることがある |
|
「dns_cache_timer」プロセスの終了を待機している間に ASA がトレースバックし、リロードすることがある。 |
|
新しいサブインターフェイスが追加され、「ac-address auto」が有効になると EIGRP が中断する |
|
メンバーがクラスタに参加しようとすると VPN クラスタリング HA のタイマースレッドでトレースバックが発生する |
|
OSPF プロセス のクリア後でも OSPF プロセス ID が変更されない |
|
box stall mid-transfer への ASA SCP 転送 |
|
スレッド SSH での ASA トレースバック |
|
キー再生成中に PKI ハンドルが解放されないため、VPN セッションが失敗する |
|
長すぎる設定行のエラーを Lina が適切に報告しない |
|
Cisco 適応型セキュリティ アプライアンス ソフトウェアのセキュアコピーのサービス拒否(DoS)攻撃に対する脆弱性 |
|
トンネル置き換えシナリオが原因で発生した高 IKE CPU に対処するための機能強化 |
|
「show inventory」コマンド発行時の ASA のトレースバックとリロード |
|
IKE デバッグ実行中の ASA のトレースバックとリロード |
|
ASA:フェールオーバーが発生して BGP ルートが変更されると、ルーティングテーブルで BGP ルートがクリアされる |
|
影響を受けるスレッドとしてデータパスを示すトレースバックとリロード |
|
セカンダリ FTD の診断 I/F の管理専用が表示されなくなる |
|
ルールを復号しないとトラフィックが中断する |
|
ENH:警告「重複する要素が見つかりました(found duplicate element)」の ACE の詳細 |
|
ASA がトレースバックしリロードすることがある。WebVPN トラフィックに関連する可能性がある |
|
ENH:「コマンドは無視されました。設定中です...(Command Ignored, configuration in progress...)」にプロセス情報を追加 |
|
Cisco 適応型セキュリティアプライアンスのスマートトンネルに関する脆弱性 |
|
手動フェールオーバーの実行時にスタンバイファイアウォールがトレースバックしてリロードする |
|
Cisco ASA ソフトウェアと FTD ソフトウェアの FTP のインスペクションサービス拒否攻撃に対する脆弱性 |
|
flow-offloaded フローでの同時 FIN が接続の失効につながる |
|
w3m を使用した ipv6 の HTTP が失敗する |
|
FTD インライン/トランスペアレントでパケットが入力インターフェイスを介して送り返される |
|
ASA が特殊文字を含むユーザーを https 経由で認証できない |
|
インターフェイス設定の delay コマンドが再起動後に変更される |
|
9.12.1 へのアップグレード時に HTTP CLI Exec でトレースバックする |
|
cts import-pac tftp:構文が機能しない |
|
DTLS 1.2 および AnyConnect oMTU |
|
AnyConnect 接続が TCP 接続制限の超過エラーで失敗する |
|
ASA がトレースバックおよびリロードすることがある。webvpn に関連する可能性がある |
|
ASA のウェルノウンポート名ではなくポート番号をアクセスリストで表示するオプション |
|
ASAv Azure:ASAv のフェールオーバー時にルートテーブルの BGP 伝達設定がリセットされる |
|
SIP インスペクションによりデータパスで ASA のトレースバックとリロードが確認される |
|
ASA:データパスでのウォッチドッグのトレースバック |
|
FTD lina がスレッド名 cli_xml_server でコア化する |
|
ヘッダー TEID : 0 の gtpv1 identification req メッセージを処理できない |
|
ASA がヘッダー TEID:0 の GTPV1 SGSN Context Req メッセージをドロップする |
|
ASA HA IKEv2 汎用 RA - 「AnyConnect Premium All In Use」がスタンバイ状態で正しく表示されない |
|
FTD によってランダムな SGT タグが追加される |
|
ポリシー展開失敗後からのロールバック後に FIPS モードが無効になる |
|
9.6.2 以降で「確立済み TCP」が機能しない |
|
Cisco ASA および Firepower Threat Defense ソフトウェア WebVPN クロスサイト スクリプティングの脆弱性 |
|
ASA が POST 要求に対して無効なリダイレクト応答を送信する |
|
IKEv2 RA 汎用クライアント - asp テーブルエントリの発信時にスタックする - 古い SPI で暗号化されたトラフィック |
|
DHCP リレーとして設定されている場合に DHCP サーバーから送信された DHCP NACK が ASA によってサイレントにドロップされる |
|
Cisco ASA ソフトウェアと FTD ソフトウェアの SIP のインスペクションサービス拒否攻撃に対する脆弱性 |
|
xlate_detach のウォッチドッグによる FTD のトレースバック |
|
Cisco ASA ソフトウェアと FTD ソフトウェアの OSPF LSA 処理のサービス拒否攻撃に対する脆弱性 |
|
HA アクティブユニットの ASA で LINA が繰り返しトレースバックする |
|
IP アドレスがローカルプールでスタックし、AnyConnect クライアントが切断されていても「使用中」と表示される |
|
スレッド名:CP DP SFR イベント処理のトレースバック |
|
リバースパスチェックにより ASA/FTD HA データインターフェイスのハートビートがドロップされる |
|
再起動後、「ssh version 1 2」が running-config に追加される |
|
RADIUS チャレンジを使用した MCA+AAA+OTP がチャレンジでの aggauth ハンドルの送信に失敗する |
|
syslog メッセージのタイムゾーン |
|
Cisco ASA および FTD ソフトウェア WebVPN CPU のサービス妨害(DoS)脆弱性 |
|
クライアント側 WebVPN リライタでのサポートされていないランタイム JavaScript の例外処理 |
|
ASA 9.9.2 クライアントレス WebVPN - HTML の処理時に HTML エンティティが誤って復号化される |
|
クラスタマスターのリロードによって管理仮想 IP への ping が失敗する |
|
SSL 復号化 DND の保持による LINA での FTD のトレースバックとリロード |
|
9.12.2.1 へのアップグレード後の LINA トレースバック |
|
設定の最初の 10 個のインターフェイスで ASA フェールオーバー LANTEST メッセージが送信される |
|
トレースバック:「saml identity-provider」コマンドでマルチコンテキスト ASA がクラッシュする |
|
2 つ以上の同時 ASDM セッションを確立できない |
|
CSCvj98964 の修正があるにも関わらず、SCTP トラフィックにより ASA がトレースバックすることがある |
|
コンテキストを削除すると、ssh key-exchange がグローバルにデフォルトになる |
|
CLI を使用してバックアップを復元すると、「ssl trust-point」コマンドが削除される |
|
ASA IKEv2 - フェーズ 2 のキー再生成の開始後に ASA が追加の削除メッセージを送信する |
|
FP2100 - FP2100 プラットフォームでリング/CPU コアをオーバーサブスクライブするフローによって動作中フローの中断が発生する |
|
バッファへのロギング時の ASAv のウォッチドッグ |
|
存在しない原因を含む GTP 応答メッセージがドロップされて、TID が 0 のエラーメッセージが発行される |
|
ASA-SFR データプレーンの通信でフラッピングが発生した際にメモリリークが起こる |
|
fp1000 シリーズプラットフォームへの ASDM 接続の確立時のトレースバックとリロード |
|
ASA がファイルの整合性を確認できない |
|
FTD/ASA:アサート snp_tcp_intercept_assert_disabled によるデータパスでのトレースバック |
|
フェールオーバー後、アクティブユニットの TCP セッションがタイムアウトに達したときに削除されない |
|
SSL ネゴシエーションの問題により、SSL VPN が確立できない場合がある |
|
フェールオーバーリンクで IP 通信のみが中断される場合にデータインターフェイスで LANTEST メッセージが送信されない |
|
デバイスへの EZVPN スポークの移動時に ASA のトレースバックが発生する |
|
デュアルスタック ASAv の手動フェールオーバーの問題 |
|
スレッド名 ssh での ASA5515-K9 スタンバイトレースバック |
|
スレッド名での Saleen の ASA トレースバック:IPv6 IDB |
|
96.4.0.41 へのアップグレード時に HTTP CLI Exec でトレースバックする |
|
トレースバック:スレッド名でのクラスタユニット lina のアサーション:クラスタコントローラ |
|
ASA クラスタが OSPF ルートをフラッシュしない |
|
FPR2100 FTD スタンバイユニットで 9K ブロックがリークする |
|
ASA:3 ホップ離れた宛先に対する BGP の再帰ルートルックアップが失敗する |
|
ポートチャネルでのフェールオーバー記述子の不一致により、フェールオーバーで接続の複製が失敗する |
|
Internal-Data0/1 の列挙時に ASA が PCI cfg 領域に関する誤ったエラーメッセージを生成する |
|
ネイバーが 1 つのインターフェイスと同じサブネット上にある場合、BGP にネイバーを追加できない |
|
フローオフロードハッシュの動作変更 |
|
スレッド IPsec Message Handler での ASA のトレースバック |
|
Ikev2 デーモンでの ASA トレースバック |
|
ASAv が Cisco Umbrella の実行中に使用できなくなる |
|
ASA が display_hole_og でトレースバックすることがある |
|
リロードの問題によってデュアルスタック ASAv フェールオーバーがトリガーされる |
|
PBR 設定がプッシュされているときに FTD 展開時に LINA がトレースバックする |
|
Cisco Adaptive Security Appliance と Firepower Threat Defense ソフトウェアリモート |
バージョン 9.12(2) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
問題 ID 番号 |
説明 |
---|---|
パケットトレーサとキャプチャの組み合わせで ASA がトレースバックとリロードを起こすことがある |
|
NSF による ASA の HA:ASA の HA でインターフェイス障害が発生した場合に NSF が正しくトリガーされない |
|
disk0 が読み取り専用にマウントされているため展開の変更がデバイスにプッシュされない |
|
ASA デバイスは、スレッド名 ha_trans_data_tx でリロードします。 |
|
設定セッション内で変更をコミットした後に SSH セッションがスタックする |
|
ASA が「フラッシュからの読み取り中」に数時間にわたってスタックする |
|
ACE での OSPF/EIGRP と IPv6 の同時使用が原因で ASA が同期設定中にスレーブ/スタンバイでトレースバックする |
|
マルチキャスト ルーティングが有効な場合にタイマー イベントが原因でユニットがスレッド PIM IPv4 または IGMP IPv4 でトレースバックする |
|
CPU プロファイリング結果表示時のトレースバックとリロード |
|
Firepower 4100 の ASA で ADI プロセスの開始に失敗する |
|
ASA への REST API イメージのアップロード中にデジタル署名の検証に失敗した |
|
ACL:アクセスグループの設定エラー後に ACL を設定できない |
|
ASA:FIPS が有効な場合に Quovadis ルート証明書をトラストポイントとしてロードできない |
|
証明書チェーンで「No certificate」コマンドを実行すると誤った証明書が削除される |
|
VPN ステータス メッセージの送信による lina msglyr インフラの過負荷 |
|
キー再生成後に DTLS が失敗する |
|
NetFlow の使用時に ASA5506 が徐々にメモリ リークを起こすことがある |
|
KP:AnyConnect がプールから使用している IP が使用可能と表示される |
|
複数のスレッドが同じロックを待機しているために発生する ASA のトレースバックとリロード :ウォッチドッグ |
|
6.3.0 リリースでの FTD アドレスがマッピングされないトレースバック |
|
FPR プラットフォームの IPsec VPN が断続的にダウンする |
|
シスコ適応型セキュリティ アプライアンスのクライアントレス SSL VPN におけるクロスサイト スクリプティングの脆弱性 |
|
ASA SNMP による CPU の占有 |
|
「Process Name: lina」| Netflow による ASA のトレースバック |
|
スレッド名のトレースバック:IKEV2 ipsec-proposal にプロトコルを追加した後の Unicorn Admin ハンドラ |
|
SCP のダウンロードにより DMA_Pool で発生するバイナリ サイズ 1024 のメモリ リーク |
|
パケット トレーサが「ERROR: TRACER: NP failed tracing packet」で失敗し、循環 ASP でキャプチャをドロップする |
|
syslog ID 111005 が正しく生成されない |
|
ASA クラスタを 9.10.1.7 にアップグレードするとトレースバックが発生する |
|
OOM が原因で FMC からの展開が失敗し、理由が示されない |
|
Ikev2 トンネルの作成に失敗する |
|
CSCuz22961 の hanover におけるスプリット DNS コミットの問題に対する 255 文字以上のサポート |
|
ASA クラスタを 9.10.1.7 にアップグレードするとメモリ不足が生じる |
|
新しい IKEv1 トンネルを確立して終了すると IPSec でメモリ リークが検出される |
|
シスコ適応型セキュリティ アプライアンスのクライアントレス SSL VPN におけるクロスサイト スクリプティングの脆弱性 |
|
DHCPRelay がユニキャスト フラグ付きの DHCP Offer パケットを消費しない |
|
「log default」キーワードのあるアクセスリストを削除できない |
|
トンネル グループ:「no ikev2 local-authentication pre-shared-key」でローカル証明書の認証が削除される |
|
アウトバウンド SSL パケットの処理中のトレースバック |
|
同期時に xlate の割り当ての破損が原因でアクティブ FTP がクラスタを介して失敗する |
|
PDTS の numa ノード情報が正しくないためロード バランシングが正しく行われない |
|
マルチコンテキスト展開でのリソースの問題により AnyConnect セッションが拒否される |
|
9.6(4)6 から 9.6(4)20 へのアップグレード時にスタンバイがリブート ループに陥ることがある |
|
ctm_ipsec_pfkey_parse_msg における ctm_ipsec_pfkey.c:602 での segfault |
|
スレッド名でのトレースバック:IP アドレスの割り当て |
|
ASA IPSec VPN EAP が PKI の有効な証明書をロードできない |
|
FTD Lina のトレースバック(Normaliser によるシステムでのパケット ループが原因) |
|
ASA5506:IBR:インターフェイスが IBR モードの BVI にある場合にホスト名を使用して ping を実行できない |
|
VTI が存在する場合に crypto ipsec inner-routing-lookup の設定を許可しないようにする必要がある |
|
フェールオーバー状態の変更または xlate のクリアを原因とする ASA または FTD のトレースバックとリロード |
|
SFR VPN イベントのメモリ リーク |
|
アップグレード後にスマート トンネルのブックマークが機能せず、証明書エラーとなる |
|
GTP トラフィックの検査中のメモリ リーク |
|
ASDM の同時セッションを確立すると FXOS プラットフォーム上の ASA がリロードされる |
|
スレッド名 octnic_hm_thread での ASA 5506/5508/5516 のトレースバック |
バージョン 9.12(1) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
問題 ID 番号 |
説明 |
---|---|
DHCP での WebVPN 「enable intf」、ASA ブート時の CLI の欠落 |
|
リモート アクセス VPN を介して SSH 接続できない(Telnet、ASDM 動作時) |
|
IKEv2 証明書認証の PRF SHA2 相互運用性サード パーティ |
|
スタンバイとの同期時にフェールオーバー crypto IPsec IKEv2 設定が一致しない |
|
AVT:ASA 9.5.2 の Content-Security-Policy ヘッダーの欠落 |
|
「any」という名前のインターフェイスを持つ複数の PAT ルールが原因で 305006「portmap translation creation failed」となる |
|
十分な LCMB メモリを割り当てることができないため、5506 での最初のブート時に ASA がトレースバックする |
|
ASA ポリシーマップ設定がクラスタのスレーブに複製されない |
|
キャプチャ実行中に DATAPATH スレッドで ASA がトレースバックする |
|
FIPS ブート テスト後に送信されたログが原因で ASA がブートループする |
|
イメージのアップロード中に ASDM がエラーを表示する |
|
「debug menu」セルフ テストの実行時に glib/g_slice で ASA がクラッシュする |
|
GTP インスペクションが CPU 使用率をスパイクさせることがある |
|
Cisco ASA SW、FTD SW、および AnyConnect セキュア モビリティ クライアント SAML 認証のセッション固定攻撃に対する脆弱性 |
|
ポートチャネルのサブ インターフェイス不一致のデフォルト DLY 値 |
|
ENH:ASA 9.8.2 での HTTP セキュア ヘッダー X-XSS-Protection の欠落 |
|
NAT 検出ペイロードを使用した DPD により Strongswan/サードパーティ製クライアントとの IKEv2 MOBIKE セッションが失敗する。 |
|
Firepower Threat Defense デバイスが Nexus 9000 を使用して ERSPAN を確立できない |
|
REST API の完全バックアップを介して設定を実行している ASA に指定されたコンテキスト設定が含まれていない |
|
Cisco Firepower Threat Defense ソフトウェアの FTP インスペクションにおけるサービス妨害の脆弱性 |
|
Cisco 適応型セキュリティ アプライアンスにおけるサービス拒否攻撃に対する脆弱性 |
|
Cisco 適応型セキュリティ アプライアンスにおけるサービス妨害の脆弱性 |
|
Cisco 適応型セキュリティ アプライアンスにおけるサービス拒否攻撃に対する脆弱性 |
|
デュアル ISP とバックアップ IPSEC トンネルを使用した DHCP リレーによりフラップが発生する |
|
snort のタイムアウトによるブラックリスト フロー タイムアウトのインライン変更 |
|
IPv6 アドレスがインターフェイスに設定されている場合、ASDM/WebVPN がリロード後に動作を停止する |
|
ASA/FTD 導入エラー「Management interface is not allowed as Data is in use by this instance」 |
|
WebVPN:Confluence アプリケーションと Jira アプリケーションでの複数のレンダリングの問題 |
|
BGP ASN によってポリシーの展開が失敗する |
|
「np-sp-invalid-spi」という ASP によってマルチキャスト ip-proto-50(ESP)がドロップされる |
|
IPv6 から IPv4 への NAT 変換の実行後に ASA が暗号化に失敗する |
|
ASA が TCP/UDP syslog に 104001 メッセージおよび 104002 メッセージを送信しない |
|
PKI:ASA が「Add CA req to pool failed. Pool full.」というエラーで CRL の処理に失敗する |
|
ASA ペア:IPv6 スタティック/接続済みルートがアクティブ/スタンバイ ペア間で同期/複製されない |
|
stuck uauth エントリが AnyConnect ユーザー接続を拒否する |
|
ホップ制限 0 でのパケットの処理を ASA に許可する(RFC 8200 に準拠) |
|
REST-API:500 内部サーバ エラー |
|
CLI と REST-API の間の ASA NAT の位置の不一致が原因で REST が誤った設定を削除する |
|
ピアが存在しない場合に「ha-replace」アクションが動作しない |
|
ASA5585 デバイスの電源装置のシリアル番号が SNMP 応答に含まれない |
|
FTD:システムの負荷が比較的低い状態で AAB が snort を強制的に再起動することがある |
|
スタンバイ FTD の DATAPATH でのトレースバック |
|
HTTP のインスペクションによる FPR4120 でのダウンロードのハングとダウンロードの速度低下 |
|
LDAP over SSL 暗号化エンジン エラー |
|
VTI 使用時の ARP トラフィックにより 256 バイトのブロック リークが確認される |
|
ASA-IC-6GE-SFP-A モジュールが取り付けられている場合の ASA5515 の DMA のメモリ不足 |
|
IPv6 トラフィックに対するネイバー要請メッセージが確認される |
|
ASDM AC のダウンロード時に GUI 言語を編集しても FPR-21XX の変更が無視される |
|
スレーブ ユニットが S2S の UDP/500 および IPSec パケットをマスターにリダイレクトせずにドロップする |
|
フェールオーバーが「新規アクティブ」に移行しているときに to-the-box トラフィックがデータ インターフェイスの外にルーティングされる |
|
Telnet アクセスを使用して「failover active」を実行した後に生じるスレッド「Logger」でのスタンバイ トレースバック |
|
SFR モジュールのシャットダウン後に ASA が Spyker のみでリブートによりトレースバック状態になる |
|
FTD:N1 フラグのフロー保持を IPS インターフェイスで適用してはならない |
|
クラスタ:インターフェイスのダウンからアップへのシナリオにおける ifc monitor debounce-time の拡張 |
|
CWE-20:不適切な入力検証 |
|
トレースバック:スレッド名:IPsec message handler |
|
システム メモリが 101% と報告する syslog 321006 を ASA 9.8.2 が受信する |
|
スレッド名 DATAPATH-14-17303 での ASA のトレースバック |
|
ASA DHCP を使用した Firepower 2110 が正常に動作しない |
|
「clear capture /all」により Firepower 9300 MI の Firepower Threat Defense がクラッシュすることがある |
|
後続のフェールオーバーが 2 回実行されと ASA SIP セッションと Skinny セッションがドロップされる |
|
ASA のメモリ リーク:snp_svc_insert_dtls_session |
|
Firepower Threat Defense での ASA のトレースバック 2130-ASA-K9 |
|
WebVPN HSTS ヘッダーに RFC 6797 に従った includeSubDomains 応答がない |
|
ASA portchannel lacp max-bundle 1 hot-sby ポートがリンク障害後にアップ状態にならない |
|
コンテキスト ストレス テストの作成/削除により nameif_install_arp_punt_service でトレースバックが発生する |
|
ASA モジュールによって生成される SACK パケットの SLE 値と SRE 値を ASA が非ランダム化しない |
|
セキュリティ コンテキストの削除後にマルチキャストがドロップされる |
|
CLI コマンドの結果として最大 255 文字のエラーの上限が削除されるか、または増加する |
|
2100 シリーズ アプライアンスでの ftdrpcd プロセスからの過剰なロギング |
|
2 タプルおよび 4 タプルのハッシュ テーブルをロックレスに変更する |
|
スタティック IPv6 ルート プレフィックスが ASA 設定から削除される |
|
clear crypto ipsec ikev2 のコマンドがスタンバイに複製されない |
|
FTD が BGP のグレースフル リスタート後に End-of-RIB のマーカーを送信しない |
|
cli_xml_server スレッドでのトレースバック |
|
「show service-policy inspect gtp pdp-context detail」実行時の「SSH」でのトレースバック |
|
「virtual http」または「virtual telnet」の使用により、「same-security permit intra-interface」が誤って必要になる |
|
2100/4100/9300:Management Center からキャプチャを停止/一時停止しても CPU 使用率が低下しない |
|
アクティブ ASA での NetFlow 設定がスタンバイ ユニットで逆順に複製される |
|
Firepower Threat Defense で「management」という名前のインターフェイスのパケット キャプチャが失敗する |
|
集約プレフィックスをフラッディングする前に特定のプレフィックスの回収アドバタイズメントがフラッディングされる |
|
IP ローカル プールが同じ名前で設定されている |
|
Cisco 適応型セキュリティ アプライアンスのダイレクト メモリ アクセスにおけるサービス拒否攻撃に対する脆弱性 |
|
各リブート後に IPv6 に対して logging host コマンドが有効になっている場合の ASA のトレースバック |
|
1550 ブロックの枯渇により ASA が 6.2.3.3 をリロードする |
|
CSM から ASA にファイルをコピーしようとしたときに発生する無効な HTTP 応答(SSL 通信中の IO エラー) |
|
Cisco 適応型セキュリティ アプライアンスのアクセス コントロール リストにおけるバイパスの脆弱性 |
|
ASA がネイバー損失後にタイプ 7 NSSA を保持する |
|
webvpn-l7-rewriter:IE でブックマークのログアウトが失敗する |
|
復号化された IKE_AUTH_Reply で ASA IKEv2 キャプチャ タイプ isakmp 設定の「Initiator Request」フラグが正しくない |
|
ASA IKEv2 キャプチャ タイプ isakmp が破損したパケットを保存しているか、またはパケットが欠落している |
|
ASA スマート ライセンス メッセージングが「nonce failed to match」で失敗する |
|
SCTP トラフィックにより ASA がトレースバックすることがある |
|
ASA:9.6.4、9.8.2:フェールオーバー ロギング メッセージがユーザー コンテキストに表示される |
|
「show memory binsize」および「show memory top-usage」で正しい情報が表示されない(修正完了) |
|
ハーフクローズ状態の lina conn テーブルでフローがスタックする |
|
webvpn:Firefox と Chrome でブックマークのレンダリングが失敗する。IE では問題なし |
|
9.8.2.20 を実行している ASA 5525 でメモリが枯渇する。 |
|
ASA が IKEv1 L2L トンネルグループに関する警告メッセージを生成する |
|
v2 ハンドオフの処理中に GTP ソフト トレースバックが確認される |
|
FlowControl が有効な場合に ASA5585 がプライオリティ RX リングを使用しない |
|
ASA5585-SSP-## のクラッシュ出力でハードウェアの ASP-## が報告される。完全なモデル名を正しく報告する必要がある |
|
SSH/Telnet の管理セッションが pc ftpc_suspend でスタックすることがある |
|
アクティブな FTP データ転送が FTP インスペクションと NAT で失敗する |
|
show process(rip:inet_ntop6)実行時の ASA のトレースバックとリロード |
|
ASA SSLVPN ログイン ページのカスタマイズをロードするために必要な圧縮の有効化 |
|
GTP APN 制限の解析時に不要な IE が存在するエラー |
|
Windows 10 バージョン 1803 の IKEv2 フラグメンテーション機能が有効になっているため EAP を使用した IKEv2 RA が失敗する |
|
大きな ACL のブート時のコンパイルに時間がかかり機能停止が生じる |
|
無効なコンテンツ エンコーディングによりローカル CA からの証明書のインポートが失敗する |
|
ASDM/Telnet/SSHを介して QoS メトリックにアクセスするときに ASA のトレースバックとリロードが発生することがある |
|
WebVPN:文法ベースのパーサーがメタタグを処理できない |
|
設定セッション内で変更をコミットした後に SSH セッションがスタックする |
|
ASAv や FTDv の展開が Microsoft Azure で失敗したりコンソールの応答が遅くなったりする |
|
ASA の「snmp-server enable traps memory-threshold」で CPU が占有され、「no buffer」でドロップする |
|
ASA CP コアのピン接続によりコアローカル ブロックが枯渇する |
|
ENH:「show tech」出力への「show fragment」の追加 |
|
ENH:「show tech」出力への「show ipv6 interface」の追加 |
|
ENH:「show tech」出力への「show aaa-server」の追加 |
|
KVM(FTD):外部からの Web サーバーのマッピングが他のプラットフォームと一貫した動作をしない |
|
高スループットの LAN 間 VPN トラフィックによりデータ キー再生成で Firepower 2100 トンネルがフラップする |
|
ASDM を介して ASA にログインすると syslog 611101 に 0.0.0.0 の IP がリモート IP として表示される |
|
huasan 製スイッチで ASA の EtherChannel をアクティブ モードで設定すると MAC アドレスがフラッピングする |
|
Firepower 2110、webvpn の条件付きデバッグが原因で Threat Defense がトレースバックする |
|
GTP インスペクションおよびフェールオーバーによるトレースバックとリロード |
|
トレースバック:mutex ロック実行中の ASA 9.8.2.28 |
|
ASA クラスタ:NAT と高トラフィックによる CCL でのトラフィック ループ |
|
エラー:権限付与が設定のキャッシュ中にすでに取得されている |
|
ASA WebVPN:SAP Netweaver の誤った書き換え |
|
ASA - VTI トンネル インターフェイス nameif が SNMP の「snmp-server host」コマンドで使用できない |
|
MAC で Safari 11.1.x ブラウザを使用した AnyConnect 4.6 の Web 展開が失敗する |
|
GTP インスペクションが TCP パケットを処理してはならない |
|
インターフェイスの編集と展開後に FTD IPV6 トラフィックが停止する:パート 1/2 |
|
フラグメント化したパケットに関する非同期キューの問題によりブロックが枯渇する:9344 |
|
暗号マップが正しくないために DMA メモリが不足して VPN 障害が発生する |
|
SA の削除中に生じる ASA IKEv2 のトレースバック |
|
FPR 9300 の FTD で事前フィルタが有効になっている状態で TCP ヘッダーが破損する |
|
CPU プロファイラがしきい値に達しないままサンプルを収集せずに実行を停止する |
|
「Thread Name: Logger Page fault: Address not mapped」での FTD または ASA のトレースバックとリロード |
|
ASA が、クライアントレス WebVPN の HTTP 応答ページで返されたチャンク化済み転送エンコーディングを処理できない |
|
ASA がメッセージ本文として HTTP を送信するとクライアントレス WebVPN が失敗する |
|
オーバーヘッドによるメモリ使用率が含まれているために「show memory」の「free memory」が正しく出力されない |
|
インターフェイスに適用されている QoS が機能しない |
|
FPR9K-SM-44 での ASA 9.8(2)24 のトレースバック |
|
RDP ブックマーク プラグインが起動しない |
|
EEM を使用して VPN 接続イベントを追跡するとトレースバックとリロードが発生することがある |
|
アクティブ ユニットの IP を使用してスタンバイ ユニットが BFD パケットを送信すると BGP のネイバーシップが障害を起こす |
|
FPR 9k ASA クラスタのマルチコンテキスト モード/vpn モードの配信が原因で設定がトランスペアレント モードの場合にリブート ループが生じる |
|
BVI インターフェイスの管理アクセスを使用した write net コマンドの開始が成功しない |
|
「capture stop」コマンドが asp-drop タイプのキャプチャで機能しない |
|
ASA:PC cssls_get_crypto_ctxt によるメモリ リーク |
|
GTP 削除ベアラー要求がドロップされている |
|
ASA トレースバック:スレッド名 NIC Status Poll |
|
v1 ホストが設定されている状態でそのホストからの v2c walk が成功する |
|
SIP インスペクションの脆弱性による Cisco ASA および FTD のサービス拒否または高 CPU |
|
オブジェクト グループの検索しきい値の作成がデフォルトで無効になっており、設定可能である。機能停止の原因となる。 |
|
Cisco 適応型セキュリティ アプライアンス ソフトウェアの特権昇格の脆弱性 |
|
Firepower 2100 ASA スマート ライセンスのホスト名の変更がスマート アカウントに反映されない |
|
FP プラットフォームで「No Switchover」のステータスのままで HA 障害を起こしたプライマリ ユニットがアクティブと表示される |
|
Cisco 適応型セキュリティ アプライアンスの WebVPN:VPN がブラウザを介して接続しない |
|
同じ dACL が接続されているすべての AnyConnect クライアントの dACL を ASA が誤って削除する |
|
スレッド名 vpnfol_thread_msg での高可用性スタンバイ ユニットのトレースバック |
|
サーバーの応答が大きすぎた場合に(ERR_RESPONSE_TOO_BIG)ASA Kerberos 認証で TCP への切り替えが失敗する |
|
ASA:PC alloc_fo_ipsec_info_buffer_ver_1+136 によるメモリ リーク |
|
ASA:CSCvm70848 の IKEv2/IPSec デバッグを追加 |
|
ASA:CLI:ユーザーにネットワーク オブジェクト「ANY」の作成を許可してはならない |
|
log default コマンドでアクセス コントロール ライセンス エントリを変更できない |
|
ASA が H323 H225 を検査しない |
|
ASAv/FP2100 スマート ライセンス:ライセンスを登録/更新できない |
|
FTD:重複する NAT ステートメントが設定されている場合に SSH から ASA へのデータ インターフェイスが失敗する |
|
イベント マネージャの出力でトレースルートの 1 行目のみがキャプチャされる |
|
WebVPN クライアントレス:パスワード管理に関する問題 |
|
ASA 上の SSH サービスが入力された文字や貼り付けられた各文字を自身のパケットにエコー バックする |
|
BVI IF を NTP 送信元インターフェイスとして設定すると NTP 同期が機能しない |
|
ブロック枯渇スナップショットが ASA でキャプチャされなかった |
|
ASA 5506 における http://x.x.x.x/asasfr-5500x-boot-6.2.3-4.img コピー中のエラー(デバイスにスペースが残っていない) |
|
FTD:「object-group-search」が flexconfig を介してプッシュされるとすべての ACL が削除されて機能停止が発生する |
|
サーバーのホストキーが 128 文字に設定されている場合に TACAC を使用した ASA AAA 認証が機能しない |
|
FTD デバイスがアクティブ状態になった後に 5 分以内にリブートされる |
|
管理者が ASA 5500-X に CXSC モジュールを取り付けられないようにする |
|
非アクティブなオフロード セッションで ASA/FTD 接続アイドル タイマーが増加しない |
|
FTD:パーサーからの ethertype ACL を信頼する機能が必要である。BPDU の通過を許可する必要がある |
|
トランスペアレント モードでの実行時にポートチャネル IF のインターフェイス番号が未割り当てと表示される |
|
NULL チェックなしの SCTP トラフィック インスペクションにより ASA がトレースバックすることがある |
|
ASA:失敗した SSL 接続が削除されず、DMA メモリが枯渇する |
|
Firepower 4100 の ASA で ADI プロセスの開始に失敗する |
|
Nameif がインターフェイスで設定されている場合に SNMPv2 が空の ifHCInOctets 値をプルする |
|
アクティブ ASA での除外設定をスタンバイ ASA と同期できない |
|
ASAv での「show memory」 CLI 出力が正しくない |
|
AnyConnect の認証/DAP アセスメントの実行中に ASA が emweb/https でトレースバックする |
|
call-home で使用したインターフェイス設定を削除すると ASA がトレースバックする |
|
HA 設定の同期を使用した wccp_int_statechange() でのスタンバイ ノードのトレースバック |
|
OS アップグレード時の ASA ルートの変更 |
|
IOS XE 16.5.1 以降で実行されているネイバーから送信された LLS TLV を持つ OSPF hello パケットが ASA によって破棄される |
|
「show interface」の実行時に指定した仮想 MAC アドレスを表示できなかった |
|
フェールオーバーは有効になっているが他のデバイスが到達不能の場合に AnyConnect の証明書認証と定期証明書認証が失敗する |
|
RA VPN + SAML 認証により RADIUS サーバーに対して 2 つの許可要求が発生する |
|
ファイバの枯渇により ASA が新しい AnyConnect 接続の認証を停止する |
|
ASA/FTD:CCL リンクのメンバインターフェイスの変更後に MAC アドレスが更新されない |
|
SSL 暗号化ハードウェア オフロードで選択的な ack が発生しない |
|
CXSC モジュールが継続的にリロードされるために ASA 5500-X が crashinfo を書き込まずにリロードすることがある |
|
ASA によってドロップされた Anyconnect クライアントの DNS 要求が包括可能である |
|
フロー テーブル設定の更新中に devcmd 障害時における CRUZ への複数回の再試行をサポートする方法 |
|
Nokia 7705 ルータでの ISA300 interop の問題 |
|
ファイルがオフボックスで変更されて再度コピーされた場合に「boot config」を設定しても効果がない |
|
DPD がフェールオーバー後に機能せずフェールバックした場合に(まれに)機能停止が発生することがある |
|
複数のスレッドが同じロックを待機しているために発生する ASA のトレースバックとリロード :ウォッチドッグ |
|
IPSec を使用したデータパスでの ASA 5585 9.8.3.14 のトレースバック |
|
SSL クライアントとしての ASA がハンドシェイク エラー パスでメモリ リークを起こす |
|
ASA/webvpn:FF および Chrome:文法ベースのパーサーでブックマークがレンダリングされない |
|
「Process Name: lina」| Netflow による ASA のトレースバック |
|
WebVPN:URL エントリが無効/埋め込みツールバー内の「Go to」アドレスが有効にならない |
|
CSCuz22961 の hanover におけるスプリット DNS コミットの問題に対する 255 文字以上のサポート |
|
ASA クラスタを 9.10.1.7 にアップグレードするとメモリ不足が生じる |
エンドユーザーライセンス契約書
エンドユーザーライセンス契約書の詳細については、http://www.cisco.com/jp/go/warranty にアクセスしてください。
関連資料
ASA の詳細については、『Navigating the Cisco ASA Series Documentation』を参照してください。