Cisco ASA シリーズ 9.16(x) リリースノート
このドキュメントには、Cisco ASA ソフトウェアバージョン 9.16(x) のリリース情報が記載されています。
特記事項
-
9.16(3.19)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
MD5 ハッシュと DES 暗号化を使用する SNMPv3 ユーザーはサポートされなくなり、9.16(1) にアップグレードするとユーザーが削除されます。アップグレードする前に、snmp-server user コマンドを使用してユーザー設定をより高いセキュリティアルゴリズムに変更してください。
-
9.16(1) では SSH ホストキーアクションが必要:RSA に加えて、EDDSA および ECDSA ホストキーのサポートが追加されました。ASA は、存在する場合、EDDSA、ECDSA、RSA の順にキーの使用を試みます。9.16(1) にアップグレードすると、ASA は既存の RSA キーを使用するようにフォールバックします。ただし、できるだけ早くcrypto key generate {eddsa | ecdsa} コマンドを使用してセキュリティレベルの高いセキュリティキーを生成することを推奨します。また、ssh key-exchange hostkey rsa コマンドで RSA キーを使用するように ASA を明示的に設定する場合は、2048 ビット以上のキーを生成する必要があります。アップグレードの互換性のために、ASA はデフォルトのホストキー設定が使用されている場合にのみ、より小さい RSA ホストキーを使用します。RSA のサポートは今後のリリースで削除されます。
-
9.16 以降では、RSA キーを使用した証明書は ECDSA 暗号と互換性がない:ECDHE_ECDSA 暗号グループを使用する場合は、ECDSA 対応キーを含む証明書を使用してトラストポイントを設定します。
-
2048 よりも小さい RSA キーは、9.16(1) では生成できません:crypto key generate rsa コマンドを使用して 2048 よりも小さい RSA キーを生成することはできません。
SSH の場合、アップグレード後も既存の小さいキーを引き続き使用できますが、より大きなサイズまたはより高いセキュリティキータイプにアップグレードすることを推奨します。
その他の機能については、2048 よりも小さい RSA キーサイズで署名された既存の証明書は、ASA 9.16.1 以降では使用できません。crypto ca permit-weak-crypto コマンドを使用して既存の小さいキーの使用を許可できますが、このコマンドを使用しても、新しい小さい RSA キーを生成することはできません。
-
ssh version コマンドは 9.16(1) で削除されました:このコマンドは削除されました。SSH バージョン 2 のみサポートされます。
-
SAMLv1 機能は 9.16(1) で削除されました:SAMLv1 のサポートは削除されました。
-
9.16(1) では DH グループ 2、5、24 はサポートされません:SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。ssl dh-groupコマンドが更新され、コマンドオプション group2、group5およびgroup24が削除されました。
-
シスコは、ASA バージョン 9.17(1) で有効なクライアントレス SSL VPN の非推奨機能を発表:9.17(1) より前のリリースでは、限定的なサポートが継続されます。
-
ASA 9.15(1) 以降では、ASA 5525-X、ASA 5545-X、および ASA 5555-X はサポート対象外:ASA 9.14(x) がサポートされている最後のバージョンです。ASA FirePOWER モジュールについては、6.6 がサポートされている最後のバージョンです。
-
Firepower 1010 の場合の無効な VLAN ID による問題発生の可能性:9.15(1) 以降にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。
-
Chacha-poly 暗号:AnyConnect には、更新された一連のサポートされている暗号化アルゴリズムがあります。『AnyConnect Secure Mobility Client Features, Licenses, and OSs, Release 4.10』[英語] は、TLS ベースの VPN トラフィックを開始するときに ASA に提案されます。
システム要件
ASDM には、4 コア以上の CPU を搭載したコンピュータが必要です。コア数が少ないと、メモリ使用量が高くなる可能性があります。
ASA と ASDM の互換性
ASA/ASDM ソフトウェアおよびハードウェアの要件およびモジュールの互換性を含む互換性の詳細については、『Cisco ASA Compatibility』[英語] を参照してください。
VPN の互換性
VPN の互換性については、『Supported VPN Platforms, Cisco ASA 5500 Series 』[英語] を参照してください。
新機能
このセクションでは、各リリースの新機能を示します。
 (注) |
syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
ASA 9.16(4) の新機能
リリース日:2022 年 10 月 13 日
このリリースに新機能はありません。
ASA 9.16(3) の新機能
リリース日:2022 年 4 月 6 日
このリリースに新機能はありません。
ASA 9.16(2) の新機能
リリース:2021 年 8 月 18 日
このリリースに新機能はありません。
ASA 9.16(1) の新機能
リリース日:2021 年 5 月 26 日
|
機能 |
説明 |
|---|---|
|
ファイアウォール機能 |
|
|
システム定義の NAT ルールの新しいセクション 0。 |
新しいセクション 0 が NAT ルールテーブルに追加されました。このセクションは、システムの使用に限定されます。システムが正常に機能するために必要なすべての NAT ルールがこのセクションに追加され、これらのルールは作成したルールよりも優先されます。以前は、システム定義のルールがセクション 1 に追加され、ユーザー定義のルールがシステムの適切な機能を妨げる可能性がありました。セクション 0 のルールを追加、編集、または削除することはできませんが、show nat detail コマンド出力に表示されます。 |
|
デフォルトの SIP インスペクション ポリシー マップは、非 SIP トラフィックをドロップします。 |
SIP インスペクションされるトラフィックでは、現在、デフォルトでは非 SIP トラフィックがドロップされます。以前のデフォルトでは、SIP のインスペクション対象ポートで非 SIP トラフィックが許可されていました。 デフォルトの SIP ポリシーマップが変更され、no traffic-non-sip コマンドが追加されました。 |
|
GTP インスペクションでドロップされる IMSI プレフィックスを指定する機能です。 |
GTP インスペクションでは、許可する Mobile Country Code/Mobile Network Code(MCC/MNC)の組み合わせを識別するために、IMSI プレフィックス フィルタリングを設定できます。ドロップする MCC/MNC の組み合わせに対して IMSI フィルタリングを実行できるようになりました。これにより、望ましくない組み合わせをリストにして、デフォルトで他のすべての組み合わせを許可することができます。 drop mcc コマンドが追加されました。 |
|
初期接続の最大セグメントサイズ(MSS)を設定します。 |
サービスポリシーを設定して、初期接続制限に達したときに初期接続の SYN cookie を生成するためのサーバーの最大セグメントサイズ(MSS)を設定できます。これは、最大初期接続数も設定するサービスポリシーの場合に意味があります。 新規/変更されたコマンド:set connection syn-cookie-mss |
|
多対 1 および 1 対多接続の CPU 使用率とパフォーマンスが向上しました。 |
ダイナミック NAT / PAT およびスキャン脅威検出とホスト統計情報を含む接続を除き、システムは接続の作成時に、ローカルホストオブジェクトを作成せず、ロックすることもなくなりました。これにより、多数の接続を同じサーバー(ロードバランサや Web サーバーなど)に対して確立する場合や、1 つのエンドポイントが多数のリモートホストに接続する場合に、パフォーマンスと CPU 使用率が向上します。 次のコマンドが変更されました:clear local-host (廃止)、 show local-host |
|
プラットフォーム機能 |
|
|
VMware ESXi 7.0 用の ASAv サポート |
ASAv 仮想プラットフォームは、VMware ESXi 7.0 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェアバージョンが追加され、ESXi 7.0 で ASAv の最適なパフォーマンスと使いやすさを実現しました。 変更されたコマンドはありません。 変更された画面はありません。 |
|
ASAv の Intel® QuickAssist テクノロジー(QAT) |
ASAv は、 Intel QuickAssist(QAT)8970 PCI アダプタを使用する ASAv 展開にハードウェア暗号化アクセラレーションを提供します。ASAv を使用した ASAv のハードウェア暗号化アクセラレーションは、VMware ESXi および KVM でのみサポートされます。 変更されたコマンドはありません。 変更された画面はありません。 |
|
OpenStack の ASAv |
ASAv 仮想プラットフォームに OpenStack のサポートが追加されました。 変更されたコマンドはありません。 変更された画面はありません。 |
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
|
Firepower 4100/9300 でのクラスタリングの PAT ポートブロック割り当てが改善されました |
PAT ポートブロック割り当ての改善により、制御ユニットはノードに参加するためにポートを確保し、未使用のポートを積極的に再利用できるようになります。割り当てを最適化するために、cluster-member-limit コマンドを使用して、クラスタ内に配置する予定の最大ノードを設定できます。これにより、制御ユニットは計画されたノード数にポートブロックを割り当てることができ、使用する予定のない追加のノード用にポートを予約する必要がなくなります。デフォルトは 16 ノードです。また、syslog 747046 を監視して、新しいノードに使用できるポートが十分にあることを確認することもできます。 新規/変更されたコマンド:cluster-member-limit 、show nat pool cluster [summary] 、show nat pool ip detail |
|
show cluster history コマンドの改善 |
show cluster history コマンドの出力が追加されました。 新規/変更されたコマンド: show cluster history brief 、show cluster history latest 、show cluster history reverse 、show cluster history time |
|
Firepower 1140 の最大コンテキスト数が 5 から 10 に増加 |
Firepower 1140 は、最大 10 のコンテキストをサポートするようになりました。 |
|
証明書の機能 |
|
|
認定のための Enrollment over Secure Transport(EST) |
ASA は、Enrollment over Secure Transport(EST)を使用した証明書の登録をサポートしています。ただし、EST 登録は、RSA キーおよび ECDSA キーとのみ使用するように設定できます。EST 登録用に設定されたトラストポイント用に EdDSA キーペアを使用することはできません。 新規/変更されたコマンド:enrollment protocol 、crypto ca authenticate 、およびcrypto ca enroll |
|
新しい EdDSA キーのサポート |
新しいキーオプション EdDSA が、既存の RSA および ECDSA オプションに追加されました。 新規/変更されたコマンド:crypto key generate 、crypto key zeroize 、show crypto key mypubkey |
|
証明書キーの制限を上書きするコマンド |
認定に SHA1with RSA 暗号化アルゴリズムを使用するためのサポート、および RSA キーサイズが 2048 未満の証明書のサポートが削除されました。crypto ca permit-weak-crypto コマンドを使用して、これらの制限を上書きできます。 新規/変更されたコマンド: crypto ca permit-weak-crypto |
|
管理およびトラブルシューティングの機能 |
|
|
SSH セキュリティの改善 |
SSH が次の SSH セキュリティの改善をサポートするようになりました。
新規/変更されたコマンド:crypto key generate eddsa 、crypto key zeroize eddsa 、show crypto key mypubkey、ssh cipher encryption chacha20-poly1305@openssh.com 、ssh key-exchange group {ecdh-sha2-nistp256 | curve25519-sha256} 、ssh key-exchange hostkey 、ssh version |
|
モニタリング機能 |
|
|
SNMPv3 認証 |
ユーザー認証に SHA-224 および SHA-384 を使用できるようになりました。ユーザー認証に MD5 を使用できなくなりました。 暗号化に DES を使用できなくなりました。 新規/変更されたコマンド:snmp-server user |
|
VPN 機能 |
|
|
スタティック VTI での IPv6 のサポート |
ASA は、仮想トンネルインターフェイス(VTI)の設定で IPv6 アドレスをサポートしています。 VTI トンネル送信元インターフェイスには、トンネルエンドポイントとして使用するように設定できる IPv6 アドレスを設定できます。トンネル送信元インターフェイスに複数の IPv6 アドレスがある場合は、使用するアドレスを指定できます。指定しない場合は、リストの最初の IPv6 グローバルアドレスがデフォルトで使用されます。 トンネルモードは、IPv4 または IPv6 のいずれかです。ただし、トンネルをアクティブにするには、VTI で設定されている IP アドレスタイプと同じである必要があります。IPv6 アドレスは、VTI のトンネル送信元インターフェイスまたはトンネル宛先インターフェイスに割り当てることができます。 新規/変更されたコマンド:tunnel source interface 、tunnel destination 、tunnel mode |
|
デバイスあたり 1024 個の VTI インターフェイスのサポート |
デバイスに設定できる VTI の最大数が、100 個から 1024 個に増加しました。 プラットフォームが 1024 個を超えるインターフェイスをサポートしている場合でも、VTI の数はそのプラットフォームで設定可能な VLAN の数に制限されます。たとえば、ASA 5510 は 100 個の VLAN をサポートしているため、トンネル数は 100 から設定された物理インターフェイスの数を引いた数になります。 新規/変更されたコマンド:なし |
|
SSL の DH グループ 15 のサポート |
SSL 暗号化の DH グループ 15 のサポートが追加されました。 新規/変更されたコマンド: ssl dh-group group15 |
|
IPsec 暗号化の DH グループ 31 のサポート |
IPsec 暗号化の DH グループ 31 のサポートが追加されました。 新規/変更されたコマンド: set pfs |
|
IKEv2 キューの SA を制限するサポート |
SA-INIT パケットのキュー数を制限するサポートが追加されました。 新規/変更されたコマンド: crypto ikev2 limit queue sa_init |
|
IPsec 統計情報をクリアするオプション |
IPsec 統計情報をクリアおよびリセットするための CLI が導入されました。 新規/変更されたコマンド:clear crypto ipsec stats およびclear ipsec stats |
ソフトウェアのアップグレード
このセクションには、アップグレードを完了するためのアップグレードパス情報とリンクが記載されています。
ASA のアップグレードパス
現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。
-
ASDM: の順に選択します。
-
CLI:show version コマンドを使用します。
次の表に、ASA のアップグレードパスを示します。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要な場合があります。推奨バージョンは太字で示されています。
(注) |
開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。 |
(注) |
(注) |
ASA 9.14 は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。 ASA 9.12 は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、 ASA 9.2 は ASA 5505 の最終バージョンです。 ASA 9.1 は ASA 5510、5520、5540、5550、および 5580 の最終バージョンです。 |
|
現在のバージョン |
暫定アップグレードバージョン |
ターゲットバージョン |
|---|---|---|
|
9.15 |
— |
次のいずれかになります。 → 9.16 |
|
9.14 |
— |
次のいずれかになります。 → 9.16 → 9.15 |
|
9.13 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 |
|
9.12 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 |
|
9.10 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 → 9.12 |
|
9.9 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 → 9.12 |
|
9.8 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 → 9.12 |
|
9.7 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.6 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.5 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.4 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.3 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.2 |
— |
次のいずれかになります。 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4) |
— |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.1(7.4) |
|
9.1(1) |
→ 9.1(2) |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.1(7.4) |
|
9.0(2)、9.0(3)、または 9.0(4) |
— |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.6 → 9.1(7.4) |
|
9.0(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.1(7.4) |
|
8.6(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.1(7.4) |
|
8.5(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.12 → 9.8 → 9.1(7.4) |
|
8.4(5+) |
— |
次のいずれかになります。 → 9.12 → 9.8 → 9.1(7.4) → 9.0(4) |
|
8.4(1) ~ 8.4(4) |
→ 9.0(4) |
→ 9.12 → 9.8 → 9.1(7.4) |
|
8.3 |
→ 9.0(4) |
次のいずれかになります。 → 9.12 → 9.8 → 9.1(7.4) |
|
8.2 以前 |
→ 9.0(4) |
次のいずれかになります。 → 9.12 → 9.8 → 9.1(7.4) |
アップグレードリンク
アップグレードを完了するには、『ASA upgrade guide』[英語] を参照してください。
未解決のバグおよび解決されたバグ
このリリースで未解決のバグおよび解決済みのバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベースツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。
(注) |
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントがない場合は、アカウントを登録できます。シスコサポート契約がない場合は、ID でのみバグを探すことができます。検索は実行できません。 |
Cisco Bug Search Tool の詳細については、Bug Search Tool Help & FAQ [英語] を参照してください。
バージョン 9.16(x) で未解決のバグ
次の表に、このリリースノートの発行時点で未解決のバグを示します。
|
ID |
見出し |
|---|---|
|
FP2100:脅威検出統計を備えた ASA/FTD が、スレッド名「lina」でトレースバックおよびリロードすることがある |
|
|
FP2100:ASA/FTD ハイアベイラビリティは、予期しない lacp プロセスの終了に対して回復力がない |
|
|
フェイルオーバー IPSec セッションとトンネル ID が同期していない |
|
|
空きメモリが 30% を超えているにもかかわらず、ASAv の CPU およびスタックメモリの割り当てエラーが高い |
|
|
FPR1120-ASA:リロード後にプライマリがアクティブロールになる |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
RX キューがスタックし、その結果シャーシとブレードの間でパケットがサイレントにドロップする |
|
|
バッファへのロギングに影響を与えるバッファサイズの変更 |
|
|
ASA:ASDM セッションが CLOSE_WAIT でスタックし、その結果 MGMT が不足する |
|
|
TCM がオフのとき、ユニットがクラスタに参加するときの ASA/FTD tmatch コンパイルチェック |
|
|
FPR1010 9.16 以降にアップグレードすると、トランクポートトラフィックが機能しなくなる。 |
|
|
TCP ノーマライザのサイレントアクションにより接続が失敗する |
|
|
不明確な snort 判定「block-packet」でトラフィックがドロップされる |
|
|
ポートチャネルメンバーがリロード後にバックプレーン インターフェイス MAC を使用する |
|
|
FTD が予期せず証明書を要求する |
|
|
ブロック データの破損により ASA がトレースバックする |
|
|
トラブルシューティングには、Syslog 202010 メッセージに関する詳細情報が必要である |
|
|
calq_platform_entry_callback の lina_assert のある FTD4115 でネストされたコアが観察される |
|
|
ASA - バージョン 9.16.2.14 で FP1120 の予期しないトレースバックが見られる |
|
|
ASA/FTD が、配布リストを使用して多数のネットワークオブジェクトの展開をトレースバックすることがある |
|
|
プレフィックスリストを使用した OSPF 再配布ルートマップがアップグレード後に機能しない |
解決済みのバグ
このセクションでは、リリースごとに解決済みのバグを一覧表で示します。
バージョン 9.16(4) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
大量のフラグメント化されたトラフィックにより ASA/FTD 9344 ブロックが枯渇する |
|
|
FTD:リロード後に CTS SGT 伝播が有効になる |
|
|
インターフェイスの停止時に BGP テーブルが接続ルートを削除しない |
|
|
送信元インターフェイスが up/up で動作しているにもかかわらず、FTD VTI が TUNNEL_SRC_IS_UP を false と報告する |
|
|
FP4100 プラットフォーム:「show conn」コマンドを実行後、アクティブ/スタンバイがデュアルアクティブに変更される |
|
|
カスタム CCL IP サブネットが設定されている場合、Cruz ASIC CLU フィルタに誤った src/dst IP サブネットが存在する |
|
|
Cisco ASA ソフトウェアと Cisco FTD ソフトウェアの SSL VPN におけるサービス拒否攻撃に対する脆弱性 |
|
|
クラスタのキープアライブパケットに新しいブロックを割り当てている間に ASA でトレースバックとリロードが発生する |
|
|
ASA/FTD が SSL 接続の提供を停止する |
|
|
ASAv5 の PLR ライセンス予約は ASAv10 を要求している |
|
|
不安定なクライアントプロセスは、FTD で LINA zmqio トレースバックを引き起こす可能性がある |
|
|
「アクティブとスタンバイのインターフェイスの数が一致していません」という警告の syslog がトリガーされるはずである |
|
|
ASAv:ブートアップ中に coredumpfsys がフォーマットされる |
|
|
スタンバイのサブインターフェイス mac は、mac-address コマンドなしでは古い mac に戻らない |
|
|
構成サイズが大きいため、スタンバイユニットがフェールオーバーの参加に失敗 |
|
|
サイズが大きい(1G)ファイルをダウンロードすると、Snort がパケットをブロックしてドロップする |
|
|
ASA/FTD が、SNMP 設定の書き込みに関連するウォッチドッグ トレースバックにヒットする可能性がある |
|
|
SNMP OID が約 1 時間半後に動作を停止する(FTD) |
|
|
LINA は、スレッド名「snmp_client_callback_thread」でトレースバックを観察した |
|
|
PBR で SD_WAN ACL を有効にしてから無効にした場合(またはその逆)に ASAv のトレースバックが発生する |
|
|
IPv6:グローバルおよびユーザー VRF ルートの出力インターフェースの一部が ASP テーブルに存在しない |
|
|
ASA 9.12-9.15 から 9.16 へのアップグレード時にすべてのタイプ 8 のパスワードが失われ、フェールオーバーが無効になる |
|
|
FTD:新しいノードがクラスタ制御ノードに参加するときに、履歴に表示される時間のギャップ/不一致 |
|
|
プライバシーアルゴリズムの AES192 または AES256 を使用した場合、SNMPv3 ポーリングが失敗することがある |
|
|
スレッド名「PIX Garbage Collector」で ASA のリロードとトレースバックが発生する |
|
|
ASA:ページ違反のあるスレッド名 Unicorn Proxy Thread でのリロードとトレースバック:アドレスがマッピングされていない |
|
|
ASA フェールオーバーで、参加ノードを「スタンバイ準備完了」と宣言する前にコンテキストの不一致が検出されない |
|
|
NAT 設定に起因する ASA/FTD トレースバックとリロード |
|
|
電源再投入後に ISA3000 がブートループの状態になる |
|
|
ASA/FTD:update_mem_reference プロセスのチューニングが発生する |
|
|
snmp-group ホストにトレースバックとリロードを引き起こす無効なホスト範囲とサブネットが存在する |
|
|
ASA/FTD データパススレッドがデッドロックに陥り、トレースバックを生成することがある |
|
|
ASA/FTD:VTI にルーティングされるパケットに DF ビットが設定されている |
|
|
Cisco ASDM および ASA ソフトウェアのクライアント側で任意のコードが実行される脆弱性 |
|
|
ASA/FTD がスレッド名「DATAPATH-9-11543」でトレースバックおよびリロードする場合がある |
|
|
スタンバイ FTD/ASA が 0.0.0.0 の送信元 IP で DNS クエリを送信する |
|
|
トレースバック:スタンバイ FTD が再起動し、スレッド名 cli_xml_server でクラッシュ情報と lina コアを生成する |
|
|
Scaled S2S+AC-DTLS+SNMP の長時間テストからの IKEv2 における ASA/FTD のトレースバックとリロード |
|
|
以前にアクティブだったメモリ追跡が無効になっている場合でも、CPU プロファイルを再アクティブ化できない |
|
|
HA で snmpwalk を実行している間、SNMP コアが毎分生成される |
|
|
動的レート制限メカニズムを識別できず、syslog サーバーで 1 秒あたりのメッセージ制限に従っていない |
|
|
crasLocalAddress の SNMP クエリで SSL/DTLS トンネルに割り当てられた IP が返されない |
|
|
ルーティングでの ASA のトレースバックとリロード |
|
|
シングルパス:古い ifc が原因でトレースバック |
|
|
「デバイスのメジャー バージョンが変更されたため、展開に失敗した」というエラーで FTD HA 展開が失敗する |
|
|
インバウンドパケットに SGT ヘッダーが含まれている場合、FPR2100 が 5 タプルごとに適切に配布できない |
|
|
プライマリはリロード後にアクティブな役割を果たします |
|
|
NAT (any,any) ステートメントは、フェールオーバー インターフェイスの状態を示し、結果としてスプリット ブレイン イベントが発生する |
|
|
SNMP コマンド実行時の長い遅延 |
|
|
ifc と ip が HA LU または CMD インターフェイスに属していることを確認するために SNP API を導入 |
|
|
暗号ハッシュ関数での ASA/FTD のトレースバック |
|
|
プロセス名 lina で ASA がトレースバックおよびリロードする |
|
|
FTD:IKEv2 トンネルが 24 時間ごとにフラップし、暗号アーカイブが生成される |
|
|
9.17.1 へのアップグレード後に証明書の検証が失敗する |
|
|
Smart Call Home プロセス sch_dispatch_to_url によって ASA/FTD のトレースバックとリロードが引き起こされる |
|
|
ASA DHCP サーバーが予約済みアドレスを Linux デバイスにバインドできない |
|
|
行番号を使用した pbr アクセスリストの設定に失敗した。 |
|
|
VPN フェールオーバー サブシステムから syslog を生成するときに、ASA/FTD がトレースバック(ウォッチドッグ)してリロードする場合がある |
|
|
メモリ割り当てでの ASA/FTD のトレースバックが失敗した |
|
|
Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの DoS の脆弱性 |
|
|
FP4112|4115:スレッド名 netfs_thread_init でのトレースバックとリロード |
|
|
スレッド名 SXP CORE での ASA のトレースバック |
|
|
FIPS が有効になっている場合に、ASA が aes128-gcm@openssh.com を設定できない |
|
|
スレッド名 fover_parse での ASA トレースバックが SNMP 関連機能によってトリガーされる |
|
|
タイマーインフラ/ネットフロータイマーで FW のトレースバックが発生する |
|
|
ゾーンメンバーを使用する ASA ルーテッドモードで PBR が機能しない |
|
|
RIP が接続されているすべての Anyconnect ユーザーをアドバタイズしており、再配布用のルートマップと一致しない |
|
|
オフロードすべきでない SGT タグ付きパケットが FTD でオフロードされる |
|
|
変換後の宛先で組み込みの「任意の」オブジェクトを使用している場合、ASA/FTD プロキシはすべてのトラフィックに ARP 要求を送信する |
|
|
IKE トンネルを切断すると、ASA/FTD ファイアウォールがトレースバックおよびリロードすることがある |
|
|
ASA HA アクティブ/スタンバイトレースバックが、約 2 ヵ月ごとに確認される。 |
|
|
FMC から開始されたキャプチャが原因で ASA/FTD のトレースバックとリロードが発生する |
|
|
メモリの snmpwalk 出力が show memory/show memory details と一致しない |
|
|
EIGRP ルート更新処理中の Lina のトレースバックとリロード。 |
|
|
Cisco ASA および FTD ソフトウェアの RSA 秘密キーリークの脆弱性 |
|
|
スレッド名:「Datapath」 での ASA トレースバックとリロード |
|
|
ASA:マルチコンテキスト混合モード SFR リダイレクションの検証 |
|
|
NAT 関連の機能 nat_policy_find_location で ASA/FTD のトレースバックとリロードが発生する |
|
|
インターフェイスがコンテキストから削除されると、「snmpwalk」を使用してインターフェイスを監視できない |
|
|
タイマー サービス アサーションによる ASA/FTD のトレースバックとリロード |
|
|
フォワーディング リファレンス関数と FIPS が有効になっている ACL を適用すると、ASA がグレースフルシャットダウンする |
|
|
SSH 設定を ASA バージョン 9.16 以降に適用できない |
|
|
ASA/FTD がスレッド名「ssh」でトレースバックし、リロードすることがある |
|
|
ASA/FTD がスレッド名「None」でトレースバックし、リロードすることがある |
|
|
インターフェイスの internal data0/0 は cli からは up/up になるが、SNMP ポーリングからは up/down になる |
|
|
スタンバイ ASA が、9.16(3) へのアップグレード後、設定の複製中にブートループになる。 |
|
|
ASA/FTD がスレッド名「ci/console」でトレースバックし、リロードすることがある |
|
|
ASA/FTD がスレッド名「appAgent_subscribe_nd_thread」でトレースバックする |
|
|
ASA/FTD IPSEC のデバッグで、ピアアドレスの変更とタイマー削除の理由が見つからない |
|
|
FTD: 7.0.2 へのアップグレード後の SNMP エラー |
|
|
SFR が 6.7.0.3 にアップグレードされると、ASA のトレースバックが発生する |
|
|
CSM または CLI を使用して DNS インスペクションポリシーを変更すると、ASA のトレースバックとリロードが発生する |
|
|
../inspect/proxy.h:439 で FTD/ASA のトレースバックとリロードが発生する |
|
|
ASA:バックアップ後にインターフェイス設定で新しい構成を削除せずに復元する |
|
|
EEM スクリプト内で実行される「show nat pool cluster」コマンドにより、トレースバックとリロードが発生する |
|
|
コマンド「show environment」で ASA/FTD 電圧情報が不足している |
|
|
ASA/FTD がスレッド名「DATAPATH-20-7695」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がユーザー証明書の SAN フィールドから UPN を解析できない |
|
|
スレッド ID 1637 で ASA/FTD のトレースバックとリロードが発生する |
|
|
プロセス名「Lina」で FTD がトレースバックおよびリロードする |
|
|
ASA 管理 IP を解放できない |
|
|
Cisco ASA および FTD ソフトウェアの RSA 秘密キーリークの脆弱性 |
|
|
インラインセット インターフェイスの内部フロー処理によってフラグメント化された GRE トラフィックが原因で、9344 ブロックでリークが発生する |
|
|
プロセス名 Lina で ASA がトレースバックし、リロードする |
|
|
ASA:VTY セッションで SLA デバッグが表示されない |
|
|
オブジェクトサブネット 0.0.0.0 0.0.0.0 が使用されている場合、NAT64 はすべての IPv6 アドレスを 0.0.0.0/0 に変換する |
|
|
「slib_malloc.c でヒープ メモリが破損」した結果、ASA がトレースバックしリロードする |
|
|
SCH コードの実行中に ASA/FTD がトレースバックおよびリロードする場合がある |
|
|
ASA:カットスループロキシが有効になっている場合の HTTPS トラフィック認証の問題 |
|
|
FTD:IPv4 <> IPv6 NAT 変換を実行するときのトレースバックとリロード |
|
|
ASA/FTD:9344 サイズのブロックリークを引き起こす GTP インスペクション |
|
|
ASA HA:プライマリの復元で、バックアップ後に行われた新しいインターフェイス設定が削除されない |
|
|
インバウンド IPSEC SA が非アクティブのままスタックする:「show crypto ipsec sa」の 1 つのアウトバウンド SPI に対して多数のインバウンド SPI がある |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
FTD:CCL リンク経由でリダイレクトされる UDP フローの NAT IPv4 <> IPv6 でのトレースバックとリロード |
|
|
MPLS タギングが FTD によって削除される |
|
|
FXOS ベースの Firepower プラットフォームで、RX リングウォーターマークの値が高いにもかかわらず、「バッファなし」ドロップを示す |
|
|
「any」およびグローバル IP/範囲がブロードキャスト IP に一致する NAT が原因で起こる ASA/FTD クラスタスプリットブレイン |
|
|
ASA パーサーが OSPF プロセスの下で不完全なネットワークステートメントを受け取り、show run に表示される |
|
|
FPR2140 でフェールオーバーに関する syslog が出力されない |
|
|
IKEv2キー の再生成:Create_Child_SA 応答の直後に受信した新しい SPI に対して無効な SPI を応答する |
|
|
ASA が IPSEC エラーでキーの再生成に失敗する: アウトバウンド ハードウェア コンテキストの割り当てに失敗する |
|
|
ASA/FTD OSPFv3 が IPv6 のメッセージタイプ 8 LSA を生成しない |
|
|
FTD/ASA の「書き込みスタンバイ」により ECDSA 暗号が有効になり、AC SSLv3 ハンドシェイクが失敗する |
|
|
スタンバイデバイスの Call Home 設定がリロード後に失われる |
|
|
FTD:スレッド名 DATAPATH でのトレースバック |
|
|
展開中に、デバイスが構成要求の処理中にスタックする |
|
|
アクセスリストでオブジェクトグループを使用すると、ルート マップで「match ip address」を設定できない |
|
|
DNS インスペクションポリシー変更後の Cisco Umbrella のヌルポインタが原因で ASA がトレースバックおよびリロードする |
|
|
6.6.5 からのアップグレード後、FIPS が有効になっている DTLSv1.2 を確立できない |
|
|
アップグレード後に ASA カスタムログインページが webvpn 経由で機能しない |
バージョン 9.16(3) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
クラスタ:別のクラスタユニットに応答が着信する場合は、外部 IP への FTD/ASA を送信元とする ping が失敗することがある |
|
|
Smart Call Home プロセスにより ASA がトレースバックする |
|
|
マルチコアプラットフォームで ASA show processes cpu-usage output が誤解を招く |
|
|
特定のロックが長時間競合した場合、マスターと 1 つのスレーブでトレースバックが発生 |
|
|
GRE ヘッダー プロトコル フィールドが内部 IP ヘッダーのプロトコルフィールドと一致しない場合の暗号エンジンエラー |
|
|
Snmpwalk がフェールオーバー インターフェイスのトラフィックカウンターを 0 として表示する |
|
|
ASA:syslog レートが高い場合に 256 バイトのブロックが枯渇する |
|
|
フェールオーバー後に ipv6 インターフェイスで snmpwalk が失敗します |
|
|
DATAPATH での ASA のリロードとトレースバック |
|
|
「show cluster info trace」の出力が「タグが存在しません」というメッセージにより負担がかかっています |
|
|
Cisco ASA および FTD ソフトウェアのリソースの枯渇で確認されたサービス拒否攻撃に対する脆弱性 |
|
|
Radius サーバーが dACL を送信し、vpn-simultaneous-logins が 1 に設定されていると、同じユーザーからの VPN 接続が失敗する |
|
|
ASAv Azure:一定期間の実行後、一部またはすべてのインターフェイスがトラフィックの通過を停止する場合がある |
|
|
異なるコンテキストで同じインターフェイスとネットワークに ipv6 アドレス/プレフィックスを設定できない |
|
|
PLR モードの ASA で「ライセンスのスマート予約」が失敗する。 |
|
|
管理セッションが数週間後に接続に失敗 |
|
|
「スイッチオーバーなし」の場合、アクティブは CoA アップデートをスタンバイに送信しようとする |
|
|
ASA を 9.15(1)10 にアップグレードした後、ASDM 7.15(1)150 のワンタイムパスワード(OTP)フィールドが表示されない |
|
|
FDM フェールオーバーペア:新しく設定された sVTI IPSEC SA がスタンバイと同期されない。FDM は HA が同期していないことを示しています |
|
|
以前の動的 xlate が作成されると、FTD で UN-NAT が作成される |
|
|
Anyconnect パッケージの検証中に FTD のトレースバックとリロードが発生する |
|
|
IPsec の設定で NULL 暗号化を使用すると、L2L VPN セッションの起動が失敗する |
|
|
UAuth エントリがスタックしているため、リモートアクセス IKEv2 VPN セッションを確立できない |
|
|
FTD がリブート時にすべての VRF インスタンスの OSPF ネットワークステートメント設定を失う |
|
|
RSA キーと証明書が ASA コード 9.12.x を使用した WS-SVC-ASA-SM1-K7 でリロード後に削除される |
|
|
頻繁な PDTS 読み取り/書き込みによる FTDv スループットの低下 |
|
|
キー設定が存在する場合の SNMP 暗号化コミュニティストリングによる ASA トレースバックとリロード |
|
|
VTI トンネルインターフェイスが、HA の KP および WM プラットフォームでリロード後もダウンしたままになる |
|
|
ブロック 80 および 256 の枯渇スナップショットが作成されない |
|
|
ASA および FTD メモリブロックの位置がデータパスでの断片化されたパケットに対して更新されない |
|
|
デバッグ:crasLocalAddress の SNMP MIB 値に IP アドレスが表示されない |
|
|
WM スタンバイデバイスは、再起動後にコールドスタートトラップを送信しない |
|
|
スタンバイデバイスが、フェールオーバー後に SSL トラフィックのキープアライブメッセージを送信する |
|
|
デフォルトの外部ルートが使用されると、Azure 上の ASAv がメタデータサーバーへの接続を失う |
|
|
ローエンドプラットフォームでの Msglyr プールメモリの減少による ZMQ OOM |
|
|
TCP ping の VRF ルートルックアップがない |
|
|
ダウングレード後の ASA/FTD トレースバックとリロード |
|
|
SSH セッションが解放されない |
|
|
Cisco ASA および FTD の Web サービスで確認されたサービス拒否攻撃に対する脆弱性 |
|
|
スレッド名 SNMP ContextThread での ASA トレースバックおよびリロード |
|
|
スティッキネストラフィックによる PAT プールの枯渇は、新しい接続のドロップにつながる可能性がある。 |
|
|
Cisco ASA および FTD ソフトウェアの IKEv2 サイト間 VPN で確認されたサービス拒否攻撃に対する脆弱性 |
|
|
FTD/ASA:ACP に新しい ACE エントリを追加すると、LINA の ACE 要素が削除および再追加される |
|
|
CSCvr33428 および CSCvy39659 によって導入された変更をロールバックする |
|
|
SNMP 機能に関連するプロセス名 lina の FTD トレースバックとリロード |
|
|
フェールオーバー後、ASA がアクティブ IP アドレスとスタンバイ MAC アドレスを使用して VTY セッションを切断する |
|
|
FP21xx のトレースバック「Panic:DATAPATH-10-xxxx -remove_mem_from_head: Error - found a bad header」 |
|
|
IKEv2: SA エラーコードは、ユーザーにわかりやすいように理由を変換する必要があります |
|
|
Cisco Firepower Threat Defense ソフトウェアの TCP Proxy DoS 攻撃に対する脆弱性 |
|
|
スレッド名 Lina での FTD のトレースバックおよびリロード |
|
|
スレッド名 Checkheaps で FTD lina トレースバックとリロードが発生する |
|
|
ASA のアップグレード後、webvpn でトレースバックとリロードが定期的に発生する |
|
|
ASA 設定の切り捨て/破損に関連した AnyConnect 接続障害が発生する |
|
|
7.0 での SE リングタイムアウトで生成された暗号アーカイブ |
|
|
sha1 ではなく sha256 リクエストが原因で PKI の「OCSP 失効チェック」が失敗する |
|
|
クラスタでの xlate の複製中に Lina トレースバックによる FTD のリロードが発生する |
|
|
プラットフォーム内の複数の SSH ホストエントリが最初に有効化/展開する機能として設定されている場合、LINA で SSH が切断される |
|
|
ASA55XX:ソフトウェアアップグレード後に拡張モジュールインターフェイスが起動しない |
|
|
ASA:孤立した SSH セッションでは、CLI からポリシーマップを削除できない |
|
|
ASP ドロップキャプチャ出力に誤ったドロップ理由が表示される場合がある |
|
|
ヘッダーのみが設定されているにもかかわらず、クラスタ CCL インターフェイスのキャプチャでフルパケットが表示される |
|
|
スレッド名 Datapath での ASA のトレースバックおよびリロード |
|
|
ディスパッチャは、特定の条件下で保留中の非同期ロックを考慮しないため、CPU 使用率が低下する |
|
|
Anyconnect プロファイルのループ処理で、ASA および FTD がトレースバックおよびリロードする場合がある |
|
|
FTDv - Lina のトレースバックおよびリロード |
|
|
nat が IP ではなくポート番号に一致する pbr ACL に一致した場合、nat の un-nat が 2 回発生しない |
|
|
show コマンドが発行されると SNMP エージェントが再起動する |
|
|
snmpd コアでデバイスが再起動 |
|
|
ASA:129 行の asp-drop キャプチャにドロップ理由がない |
|
|
ASA:システムコンテキストでインターフェイスのフラップが発生したときに、カスタムコンテキストからの ARP エントリが削除されない |
|
|
「show capture」コマンドが実行されると、FTD または Lina がトレースバックすることがある |
|
|
clear configure snmp-server コマンドが発行されると ASA のトレースバックとリロードが発生する |
|
|
ASA/FTD:手動 NAT ルールでオブジェクトグループを変更した後、NAT が送信元アドレスの変換を停止する |
|
|
ASA が DACL のダウンロードに失敗した場合、試行を停止しない |
|
|
既存のユーザーで複数のコンテキストスイッチを実行した後、ASDM セッションが新しいユーザーに提供されない |
|
|
FTD または ASA - 9.14.2.15 から 9.14.3 へのアップグレード後にブートループでスタックする |
|
|
直接接続されていないネイバーのために BGP パケットがドロップされる |
|
|
snmp_master_callback_thread での ASAv のトレースバックとリロード |
|
|
ASA または AnyConnect - 古い RADIUS セッション |
|
|
アクセスリストに明確なルールが存在するにもかかわらず、暗黙の ACL によって ASA トラフィックがドロップする |
|
|
HA のフェールオーバー後に内部 LDAP 属性マッピングが失敗する |
|
|
hostscan のアップグレード中に ASAv がトレースバックを確認する |
|
|
FTD:NGFW インターフェイスとホストグループが設定された SNMP ホストを削除しようとすると、展開が失敗する |
|
|
FTD がスレッド名「lina」でトレースバックおよびリロードする場合がある |
|
|
スレッド名 DATAPATH-15-18621 でのトレースバックおよびリロード |
|
|
TLS サーバー検出は、AnyConnect 展開のプローブに誤った送信元 IP アドレスを使用 |
|
|
FPR2100:ESP-Null 暗号化を使用すると、L2L VPN トンネルを形成できない |
|
|
show tech-support の出力は、crashinfo がある場合に混乱を招く可能性があり、クリーンアップするまたは直感的にする必要がある |
|
|
ASA が、name-server コマンドで指定されたインターフェイスを使用して IPv6 DNS サーバーに到達しない |
|
|
ASA:「HA 状態の進行に失敗した」後、HA ペアで失敗した ASA が自動的に回復されない |
|
|
低メモリ状態での SSL null チェックによる FTD/ASA のトレースバックとリロード |
|
|
トラフィックが存在する場合でも、設定されたアイドルタイムアウト後に TCP 接続がクリアされる |
|
|
LINA プロセスでの FTD のトレースバックとリロード |
|
|
conf t が、context-config モードで disk0:/t に変換される |
|
|
ポリシーの展開後に Snort がダウンする |
|
|
SCTP トラフィックにより ASA がトレースバックする。 |
|
|
MASTER_POST_CONFIG 状態のクラスタユニットは、一定期間後に無効状態に移行しなければならない |
|
|
ICMP エラーメッセージを処理する際、DATAPATH で ASA がトレースバックする |
|
|
クラスタ構成の同期中に「Netsnmp_update_ma_config: ERROR Failed to build req」メッセージが表示される |
|
|
update_mem_reference の CPU ホグ |
|
|
ICMP 到達不能メッセージ生成時のメモリ破損による ASA および FTD のトレースバックとリロード |
|
|
コマンド「show access-list」実行時の SSH プロセスでの ASA のトレースバックとリロード |
|
|
ASDM セッション数とクォータ管理の件数が一致しせず、ASDM に「接続ファイアウォールが失われました」というメッセージが表示される |
|
|
FTD で変更される IPV6 DNS PTR クエリ |
|
|
複数のインラインペアでの単一接続が原因で SSL 復号化が機能しない |
|
|
anyconnect セッションが終了した後、ASA ログに転送されたデータの間違った値が表示される |
|
|
LINA がトレースバックとリロードを生成する場合がある |
|
|
SAML ハンドラの処理中に ASA でトレースバックを検出 |
|
|
dhcpp_add_ipl_stby が原因でスタンバイのコントロールプレーンの CPU 使用率が高くなる |
|
|
ikev2 トンネルで約 2 分かかる ASA からのコンテキストを削除する |
|
|
ASA/FTD が、スタックトレースの「c_assert_cond_terminate」でトレースバックおよびリロードする場合がある |
|
|
FTD:スレッド名 DATAPATH でのトレースバック |
|
|
ASA および FTD のスタンバイユニットが HA に参加できない |
|
|
RFC5424 が有効な場合、一貫性のないロギングタイムスタンプが起こる |
|
|
管理トンネルを実装している間、ユーザーはオープン接続を使用して AnyConnect をバイパスできる |
|
|
RA トンネルで DTLS1.2 を使用する場合の FTD トレースバックとリロード |
|
|
Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの DNS で DoS の脆弱性 |
|
|
OSPFv3:FTD の間違った「転送アドレス」が ospfv3 データベースに追加される |
|
|
FO 後にアクティブ IP アドレスとスタンバイ MAC アドレスを使用した SSH セッションと HTTPS セッションが ASA で切断される |
|
|
asa-9.14.3 から asa-9.15.1/9.16.1.28 にアップグレードした後、NTP が *(同期済み)ステータスに変更されない |
|
|
ASA/FTD:サイト間 VPN でトラフィックが正しくフラグメント化されていない |
|
|
「タイマーサービス」機能により、ASA および FTD のトレースバックとリロードが発生する |
|
|
FXOS および FTD を 2.10.1.159 および 6.6.4 にアップグレードした後に FTD 25G、40G、および 100G のインターフェイスがダウンする |
|
|
プライマリ ASA は、スプリットブレインが検出され、ピアがコールドスタンバイになるとすぐに GARP を送信する必要がある |
|
|
ブロック解放中に Lina のトレースバックとリロードにより、FTD ブートループが発生する |
|
|
マルチ コンテキスト スイッチオーバーが ASDM から実行される場合、ASA で ASDM セッション/クォータカウントの不一致が発生する |
|
|
OSPFv2 フローにクラスター集中型「c」フラグがない |
|
|
アップグレード後の SSL VPN のパフォーマンスの低下と重大な安定性に関する問題 |
|
|
起動時の ASA 9.14 の使用可能な DMA メモリが不足し、サポートされる AnyConnect セッションが減少する |
|
|
暗号 ACL のオブジェクトグループでは、ヒットカウントの合計が個々の要素と一致しない |
|
|
高速トラフィックでのインターフェイスリングのドロップにより、スタンバイユニットで Statelink hello メッセージがドロップした |
|
|
AD の有効なユーザーによる ASA 特権昇格 |
|
|
ASA show tech の実行により、CPU でスパイクが発生し、IKEv2 セッションに影響を与える |
|
|
IPV4 アドレスが設定されていない場合、IPV6 での NTP 同期が失敗する |
|
|
デバイスでのメジャーバージョンの変更によるアップグレード後の FTD 展開の失敗 |
|
|
アップグレード後の NTP 同期の喪失 |
|
|
FP1120 9.14.3:アクティブなデバイスの再起動後に一時的なスプリットブレインが発生 |
|
|
VPN セッションはないが、IP アドレスが「使用中」になる |
|
|
インラインセットの show コマンドと clear コマンドが機能しない |
|
|
FTD が SSL フローエラーの CORRUPT_MESSAGE でトラフィックをブロックする |
|
|
BGP ルートが未解決と表示され、「ホストへのルートがありません」という ASP のドロップが原因となりパケットをドロップする |
|
|
IPv6 PIM パケットが、無効な IP の長さによるドロップが原因となり ASP でドロップする |
|
|
Cisco ASA ソフトウェアおよび FTD ソフトウェアリモートアクセスの SSL VPN サービス拒否 |
|
|
マッピングされたグループポリシーを持つ AnyConnect ユーザーは、トンネルグループの下にあるデフォルト GP から属性を取得する |
|
|
バージョン 9.14(2)15 へのアップグレード後に SNMP が応答しなくなる |
|
|
「failover active」コマンドの実行後に、状態遷移における遅延が原因で ASA フェールオーバー スプリット ブレインが発生 |
|
|
Cisco Firepower Threat Defense ソフトウェアで確認されたサービス拒否攻撃に対する脆弱性 |
|
|
IKE デーモンスレッドでの ASA および FTD のトレースバックとリロード |
|
|
ASA/FTD:LUA から不要なプロセス呼び出しを削除 |
|
|
ASA が、「ラベル長 164 バイトがプロトコルの制限である 63 バイトを超えている」という理由で非 DNS トラフィックをドロップする |
|
|
マルチインスタンスの Lina と FXOS の間でクロックドリフトを検出 |
|
|
フローオフロード - 比較状態の値が長期間エラー状態のままになる |
|
|
asp ドロップタイプ「no-adjacency」が原因で BVI インターフェイスで設定された ASA によってトラフィックがドロップした |
|
|
FTD が UI 管理を FDM から FMC に移すと、トラフィックエラーが発生する |
|
|
FTD SSL プロキシは、設定可能または動的な最大 TCP ウィンドウサイズを許可する必要がある |
|
|
オブジェクトサービスでポートの範囲を使用すると、「NAT がポートを予約できません」というエラーが発生 |
|
|
Cisco 適応型セキュリティ アプライアンスのソフトウェアクライアントレス SSL VPN で確認されたヒープオーバーフローの脆弱性 |
|
|
ASA:アップグレード後のリロードの後に NTP 同期が失われる |
|
|
AnyConnect SSL の一部の syslog が、ユーザーコンテキストではなく管理コンテキストで生成される |
|
|
ASDM を使用してキャプチャを実行するとき、FPR4100 の ASA でトレースバックとリロードが発生する |
|
|
FMC からの展開中にトレースバックを使用してランダム FTD がリロードされる |
|
|
広範なプールを備えた ASA NAT66 が IPv6 で機能しない |
|
|
トレースバック:セカンダリファイアウォールがスレッド名「fover_parse」でリロード |
|
|
pix_startup_thread により ASA/FTD のトレースバックとリロードが発生 |
|
|
ASA:GTP ヘッダーに SEQ および EXT フィールドがある場合、IP ヘッダーチェックの検証に失敗する |
|
|
ハッシュテーブルへのアクセス中に無効なメモリアクセスが原因で Lina のトレースバックとリロードが発生する |
|
|
同じ送信元 IP に異なる CG-NAT ポートブロックが割り当てられたことが原因で、ホストごとの PAT ポートブロックが枯渇する |
|
|
FTD サービスモジュールの障害:「ND がダウンした可能性があります」という誤ったアラーム |
|
|
HTTP cli EXEC コードで ASA のトレースバックが発生する |
|
|
コントロールプレーンで DHCP オファーが表示されない |
|
|
オブジェクトで存在しない ACL を削除した後、新しいアクセスリストが有効にならない |
|
|
OGS コンパイル動作における ASA および FTD の変更によりブートループが発生する |
|
|
snp_ha_trans_alloc_msg_muxbuf_space 関数で ASA のトレースバックとリロードが発生する |
|
|
OID「1.3.6.1.4.1.9.9.171.1.3.2.1.2」をポーリングすると、関連するトンネルの負のインデックス値が得られる |
|
|
ASDM を介してインターフェイス設定を変更すると、Unicorn Admin Handler で ASA のトレースバックとリロードが発生する |
|
|
条件付きフローオフロードのデバッグで出力が生成されない |
|
|
ASA を 9.12.4.x にアップグレードした後、FTP インスペクションが正しく機能しなくなる |
|
|
debug webvpn cifs 255 を有効にすると、トレースバックとリロードが発生する |
|
|
SNMP が予期しない結果の順序で snmpgetbulk に応答している |
|
|
スポークからの IPSec トンネルがフラッピングすると、ハブでトラフィックエラーが継続的に発生する |
|
|
FPR の SNMP get コマンドがインターフェイスインデックスを表示しない |
|
|
Cisco ASA および FTD ソフトウェアの VPN 承認バイパスの脆弱性 |
|
|
トレースバック: Logger というスレッド名で Lina がトレースバックおよびリロードする |
|
|
トランザクションコミット診断に関する複数の問題が発生する |
|
|
ASA/FTD が、スレッド名「IP Address Assign」でトレースバックおよびリロードする場合がある |
|
|
ASA/FTD フェールオーバー:アクティブユニットから設定の複製を受信すると、スタンバイユニットがリブートする |
|
|
9.15.1.17 にアップグレードした後、SNMP がポーリングに応答しなくなった |
|
|
AnyConnect TLSv1.2 セッション確立中に SSL ハンドシェイクログに不明なセッションが表示される |
|
|
ASA/FTD は、スレッド名「DATAPATH-4-9608」でトレースバックおよびリロードする場合がある |
|
|
ポートチャネルメンバーであるインターフェイスの ifHighSpeed 値が正しくない |
|
|
Lina が tcpmod_proxy_handle_mixed_mode でトレースバックおよびリロードする場合がある |
|
|
ASA:ジャンボサイズのパケットが L2TP トンネル上でフラグメント化されない |
|
|
ポリシーの展開中にコンソールに過度の警告が発生する |
|
|
Mempool_DMA 割り当ての問題/メモリリークが発生 |
|
|
ASA:SSH と ASDM セッションが CLOSE_WAIT でスタックし、ASA の MGMT が不足する |
|
|
FP2140 ASA 9.16.2 HA ユニットが lua_getinfo(getfuncname)でトレースバックおよびリロードする |
|
|
ASA/FTD:「署名者証明書が見つかりません」が原因で、アップグレード後に OCSP が機能しない場合がある |
|
|
ASA/FTD MAC の変更が、INSPECT がオンになっているフラグメント化されたパケットの処理で見られる |
|
|
監査メッセージが生成されない:ASAv9.12 からのロギングが有効化されない |
|
|
FTD/ASA:BFD 機能のトレースバックにより予期しないリブートを引き起こす |
|
|
SNMP の設定中に ASA CLI がランダムにフリーズする |
バージョン 9.16(2) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
不具合 ID 番号 |
説明 |
|---|---|
|
ENH:ASA は MAXHOG のタイムスタンプを「show proc cpu-hog」に保存する必要がある |
|
|
Firepower アプライアンスで 2 つの CPU コアが継続的にスパイクする |
|
|
AWS FTD:「ERROR: failed to set interface to promiscuous mode」により展開が失敗する |
|
|
トレースバック:ASA が snp_fdb_destroy_fh_callback + 104 をリロードする |
|
|
FTD:NLP パスでリターン ICMP 接続先到達不能メッセージがドロップされている |
|
|
エンジニアリング ASA Build での ASAトレースバックとリロード:9.12.3.237 |
|
|
暗号化プロセスで FPR1120 が ASA トレースバックとリロードを実行している |
|
|
FTD アクティブユニットが host-move-pkt drop reason でインターフェイス フェールオーバー メッセージをドロップすることがある |
|
|
netflow リフレッシュタイマーによる ASA/FTD トレースバックとリロード |
|
|
IKEv2キー の再生成:Create_Child_SA 応答の直後に受信した新しい SPI を使用した ESP パケットの SPI が無効になる |
|
|
chastrcpy_s: source の文字列が着信側に対して長すぎるため ASA がトレースバックおよびリロードする |
|
|
CP がピン接続されているコアでのコアローカルブロック割り当ての失敗によりドロップが発生する |
|
|
「Initiator/Responder」パケットを 0 として示す SSL 復号化された https フローの EOF イベント |
|
|
ASA CP の誤った計算により、パーセンテージが高くなる(CP CPU 100%) |
|
|
ファイアウォール MIB 内の特定の OID に対して SNMP 一括取得が機能せず、デバイスのパフォーマンスが低下する |
|
|
Umbrella によるトレースバックとリロード |
|
|
SSL ポリシーを使用したファイル転送またはファイルアップロードが低速で、復号化の再署名アクションが適用される |
|
|
ASA/FTDは、設定をメモリに保存/書き込みするときにトレースバックおよびリロードすることがある |
|
|
HAで FPR 2100 が ASA を実行するフェールオーバー中のウォッチドッグでのトレースバックとリロード |
|
|
ifXTable の snmwapwalk がデータインターフェイスを返さないことがある |
|
|
セカンダリ ASA がスタートアップ コンフィギュレーションを取得できない |
|
|
クラスタコマンドを使用して長い宛先ファイル名を持つファイルをコピーする場合にASA がトレースバックおよびリロードする |
|
|
スレッド Lic HA クラスタでのトレースバック |
|
|
uauth のデバッグ機能の改善 |
|
|
access-list の再設定時の ASAトレースバック |
|
|
暗号の不一致が原因で HA がアクティブ/アクティブ状態になる |
|
|
DHCP 予約で一部のデバイスに予約済みアドレスを適用できない |
|
|
スレッド名 DATAPATH での ASA トレースバックおよびリロード |
|
|
CSCuz67596 の修正を実行中でも、スレッド名 Unicorn Admin Handler で ASA クラスタがトレースバックする |
|
|
トレースバック:LINA プロセスで FPR 2110 の ASA がトレースバックおよびリロードする |
|
|
REST API ログインページの問題 |
|
|
IKEv2 の A/Sフェールオーバーペアでの ASA トレースバックとリロード。 |
|
|
登録フラグ付きのカプセル化されたパケットが RP に送信されたときに、PIM Register Sent カウンタが増加しない |
|
|
証明書認証が使用される場合に Web ポータルで永続的なリダイレクトが発生する |
|
|
FTD がインラインペア展開で TCP フローを不必要に ACK する |
|
|
/ngfwに空き領域がない |
|
|
DNS ルックアップが有効な場合、「show route bgp」または「show route isis」であいまいなコマンドエラーが表示される |
|
|
Azure の FTDv 6.7 が GigabitEthernet インターフェイスで 1000 の速度を設定できない |
|
|
ASA/FTDは、最大再試行回数に達した後も連続的な RADIUS アクセス要求を送信する |
|
|
ASA/FTD がスレッド名「DATAPATH-15-14815」でトレースバックし、リロードすることがある |
|
|
マルチインスタンス FTD の Lic TMR スレッドでの FTDトレースバックとリロード |
|
|
UAuth エントリがスタックしているため、リモートアクセス IKEv2 VPN セッションを確立できない |
|
|
メモリヘッダー検証によるプロセス名 lina での ASA トレースバックとリロード |
|
|
ASA/FTD がスレッド名「Unicorn Proxy Thread」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名「ssh」でトレースバックし、リロードすることがある |
|
|
IKE デーモンプロセスでの ASA トレースバックおよびリロード |
|
|
OCSP タイムアウトが長い場合、AnyConnect 認証が失敗することがある |
|
|
ASA/FTD がスレッド名「webvpn_task」でトレースバックおよびリロードすることがある |
|
|
FTD がリブート時にすべての VRF インスタンスの OSPF ネットワークステートメント設定を失う |
|
|
ドキュメントに反して、10 ミリ秒未満の CPU 占有が発生する |
|
|
キー設定が存在する場合の SNMP 暗号化コミュニティストリングによる ASA トレースバックとリロード |
|
|
ブロック 80 および 256 の枯渇スナップショットが作成されない |
|
|
HA の再起動後に SNMP v3 設定が失われる |
|
|
Lina と FXOS 間の同期外れの時間 |
|
|
直接認証トラフィックが ASA を通過している場合でも ASA 直接認証がタイムアウトする |
|
|
ASAv が MAC テーブルの自身のアドレスに非アイデンティティ L2 エントリを追加し、HA hello をドロップする |
|
|
Cisco ASA 9.16.1 と FTD 7.0.0 の IPsec に関するサービス妨害(DoS)の脆弱性 |
|
|
vpnfol_sync/Bulk-sync keytab がスタックしているため、FTD HA がバルク状態のままになる |
|
|
AWS TenGigabit インターフェイス上の ASAv が 10000Mbps ではなく 1000mbps を学習している |
|
|
ASA アカウンティングが誤った Acct-Session-Time を報告する |
|
|
ASA:暗号 ACL の「deny ip any any」エントリにより、IKEv2 リモート AnyConnect アクセス接続が阻止される |
|
|
スタンバイデバイスが、フェールオーバー後に SSL トラフィックのキープアライブメッセージを送信する |
|
|
ダウングレード後の ASA/FTD トレースバックとリロード |
|
|
snmp コマンドを無効にする場合の ASA/FTD トレースバックとリロード |
|
|
7.0 へのアップグレード後の SSL に関連する FTD トレースバックとリロード |
|
|
SNMP 機能に関連するプロセス名 lina の FTD トレースバックとリロード |
|
|
ASA のアップグレード後、webvpn でトレースバックとリロードが定期的に発生する |
|
|
clear configure snmp-server コマンドが発行されると ASA のトレースバックとリロードが発生する |
バージョン 9.16(1) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
不具合 ID 番号 |
説明 |
|---|---|
|
スケジューラ破損の問題に対する検出と自動修正の機能を実装する |
|
|
「show asp drop」情報を取得するための SNMP OID を含める機能 |
|
|
ASA:まれに発生した CP 処理での破損によってコンソールロックが発生する |
|
|
IRB/TFW 設定でホストが到達不能な場合に ASA コアブロックが枯渇する |
|
|
スレッド名 Unicorn Proxy Thread で ASA が 9.6.4.20 トレースバックを実行する |
|
|
ASA:tcp_intercept スレッド名 thread detection でのトレースバック |
|
|
ENH:ASA を実行している 4100/9300 と同様に、2100 でコンソールメッセージをログに記録する必要がある |
|
|
Cisco Adaptive Security Appliance と Firepower Threat Defense ソフトウェアリモート |
|
|
SR-IOV インターフェイス上の ASAv フェールオーバー トラフィックが、インターフェイスのダウンによりドロップされることがある |
|
|
FXOS:サービスモジュールの hwclock を同時書き込みコリジョンによる破損から修復 |
|
|
ASA「Chassis 0 Cooling Fan OK」SCH メッセージを使用した FRP 1000 および FPR2100 シリーズの重大な RPMアラート |
|
|
スレッド idfw_proc での ASA のトレースバック |
|
|
SSL ハンドシェイク中の ASA のトレースバックとリロード |
|
|
HTTP クリーンアップによるクライアントレス WebVPN のトレースバックまたはページ障害 |
|
|
FTD LINA トレースバック & リロード処理中の Snort リターン判定 |
|
|
インラインタップモードを有効にすると、パフォーマンスが 20 〜 50% 低下することがある。 |
|
|
SSL 復号ポリシーを有効にした後、FTD Lina エンジンがデータパスでトレースバックすることがある |
|
|
新しいコンテキストの作成中に「config-url」を入力すると、ASA のトレースバックが発生する |
|
|
特定の状況下で Netflow テンプレートが送信されない |
|
|
ASAv AnyConnect ユーザーがアイドルタイムアウトで予期せず切断される |
|
|
6.7.0-1992:重複した接続イベントの 1 つに空の SSL 情報がある |
|
|
FTD/ASA は、ファイル名に「!」の文字を含むコアダンプファイルを作成する(lina 変更)。 |
|
|
Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの Web DoS の脆弱性 |
|
|
FPR2100 1 Gig ファイバ SFP インターフェイスが ASA アプライアンスモードでダウンする |
|
|
Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの Web DoS の脆弱性 |
|
|
inspect esmtp での ASA のトレースバックとリロード |
|
|
DATAPATH での ASA 9.12 のランダムトレースバックおよびリロード |
|
|
ブックマーク SSL 暗号設定の変更中の ASA トレースバック |
|
|
ASA のアップグレード後、startup-config で OSPF ネットワークコマンドが欠落する |
|
|
fover および SSH スレッドによるトレースバック |
|
|
トレースバックにより purg_process となる |
|
|
スレッド名 ace_work で ASA5555 がトレースバックし、リロードする |
|
|
夜間に VPN、EMIX、および SNMP トラフィックを実行中に、タイマーで KP をトレースバックする |
|
|
コアファイルを作成する FTD での予期しないトレースバックとリロード |
|
|
ASA:igb_saleen_io_sfp_mod_poll_thread プロセスで CPU 専有の値が高くなる |
|
|
ASA:EasyVPN HW クライアントが重複したフェーズ 2 のキー再生成をトリガーし、トンネル経由で切断される |
|
|
ASA/FTD がスレッド名 fover_FSM_thread でトレースバックし、リロードすることがある |
|
|
ASA/FTD:HA スイッチオーバー後に接続されたスイッチで MAC アドレステーブルのフラッピングが表示される |
|
|
FTD 6.6:snmpd プロセスの CPU がスパイクする |
|
|
ASA が「octnic_hm_thread」でリロードし続け、リロード後は回復するまでに非常に長い時間がかかる |
|
|
セカンダリユニットがクラスタに参加できない |
|
|
Firepower 2140 での VPNス レッドによる ASA のトレースバックとリロード |
|
|
PDTS Tx キューがスタックしたまま Snort がビジー状態でドロップする |
|
|
「show tech-support」コマンドの実行中の ASA トレースバックとリロード |
|
|
サイト間セッションおよび AnyConnect セッションで ASA の古い VPN コンテキストが表示される |
|
|
オフロードされたトラフィックが ECMP セットアップでセカンダリルートにフェールオーバーされない |
|
|
LINA プロセスでの ASA トレースバック |
|
|
カプセル化されたフローを処理する際の DATAPATH スレッドでの FTD トレースバックとリロード |
|
|
radius_rcv_auth により、コントロールプレーンの CPU 使用率が 100% になることがある |
|
|
プライマリユニットのインターフェイスが init 状態のままであるため、セカンダリユニットがバルク同期状態で無限にスタックする |
|
|
スレッド名 Logger での ASA/FTD のトレースバックとリロード |
|
|
snmp/snmp_config_utils.c で Rip Netsnmp_config_req_dequeue_and_send+269 を使用すると、SNMP で FTD がクラッシュすることがある |
|
|
フローオフロードが有効になっている場合、TCP ファイル転送(ビッグファイル)が正しく閉じない |
|
|
strncpy NULL 文字列が SSL ライブラリから渡されている間の ASA syslog トレースバック |
|
|
スレッド名 ci/console での ASA のトレースバックとリロード |
|
|
Cisco ASA および FTD ソフトウェアの SIP で確認されたサービス拒否攻撃に対する脆弱性 |
|
|
EAP を使用した IKEv2 で、MOBIKE ステータスが処理されない |
|
|
QP を v9.14.1.109 にアップグレード中に SNMP プロセスがクラッシュした |
|
|
ASA/FTD が SNMP のメモリ破損によりトレースバックおよびリロードすることがある |
|
|
ディレクタ/バックアップフローは残され、このフローに関連するトラフィックがブラックホール化される |
|
|
9.12(4)4 以降にアップグレード後の ASASM トレースバックおよびリロード |
|
|
TACACS+ ASCII パスワード変更要求が正しく処理されない |
|
|
デバイスがハング状態になるまで 600/秒のレートで VPN syslog が生成される |
|
|
リブート時に AZURE ASA/FTD NIC MAC アドレスが並べ替えられることがある |
|
|
FPR2110 上の 9.10.1.11 ASA がランダムにトレースバックおよびリロードする |
|
|
PBR 設定変更時の ASA/FTD トレースバックとリロード |
|
|
ASA:非 DNS トラフィックを DNS 検査エンジンにリダイレクトする「class-default」クラスマップ |
|
|
リロード時の ASAv SNMP トレースバック |
|
|
SNMP および管理アクセス設定に関連する ASA/FTD トレースバックおよびリロード |
|
|
一部の FPR プラットフォームのインバウンドトラフィックの IPSec トランスポート モード トラフィックの破損 |
|
|
ASA を 9.13(1)13 にアップグレードすると、DAP が動作しなくなる |
|
|
プロセス名「Lina」で ASA/FTD がトレースバックおよびリロードする |
|
|
IPv4 デフォルトトンネルルートが拒否される |
|
|
FPR 4K:手動フェールオーバー後に新しいアクティブ ASA から SSL トラストポイントが削除される |
|
|
ASA:IPv6 DACL 障害により、AnyConnect セッションを再開できない |
|
|
Cisco ASA と FTD ソフトウェアの Web サービスバッファオーバーフローによるサービス拒否の脆弱性 |
|
|
ASA が複数のクエリパラメータを含む SAML アサーションで HTTP POST を処理できない |
|
|
FPR4120:cli_xmlserver_thread の Lina ウォッチドッグ トレースバック |
|
|
Cisco ASA および FTD Web サービスインターフェイスで確認されたクロスサイト スクリプティングの脆弱性 |
|
|
ASA5506 上の M500IT モデルのソリッドステートドライブが 3 年 2 ヵ月のサービス期間後に応答しなくなることがある |
|
|
FPR-4150:スレッド名 DATAPATH での ASA トレースバックおよびリロード |
|
|
タイプ dynamic-split-exclude-domains の AnyConnect カスタム属性の名前がリロード後に変更される |
|
|
FTD BVI アドレスから直接接続された IP への接続の問題 |
|
|
ASA:ランダムな L2TP ユーザーが古い ACL フィルタエントリが原因でリソースにアクセスできない |
|
|
IKev 2 Daemon スレッドでの ASA トレースバックおよびリロード |
|
|
IKE デーモンでの ASA トレースバックおよびリロード |
|
|
ASA:OpenSSL の脆弱性 CVE-2020-1971 |
|
|
ACL に関する「設定セッション」の変更時に ASA トレースバックが発生する。 |
|
|
バージョン 9.14.1.30 以降で BVI HTTP/SSH アクセスが機能しない |
|
|
ACL の変更時に FTD ファイアウォールがトレースバックおよびリロードすることがある |
|
|
ホスト名が 30 文字を超えると、FTD の管理対象デバイスのバックアップが失敗する |
|
|
スレッド名 snmp_alarm_thread での ASA トレースバックおよびリロード |
|
|
ASA トレースバックとリロードの WebVPN スレッド |
|
|
証明書の変更中に ASA/FTD がトレースバックおよびリロードすることがある。 |
|
|
Cisco ASA および FP 1000/2100 シリーズ コマンド インジェクションの FTD ソフトウェアの脆弱性 |
|
|
キャプチャが削除されたときに ASA がトレースバックを実行し、スレッド名:ssh でリロードされる |
|
|
ASA: Remote Access VPN が有効な場合、emweb/https でトレースバックを実行し、リロードされる |
|
|
inspect_h323_ras+1810 のトレースバック |
|
|
ASA:CoA で dACL が提供されない場合、VPN トラフィックが渡されない |
|
|
ASA:CoA 後の v6 トラフィックに IPv6 エントリのない dACL が適用されない |
|
|
ASAv:9.14 へのアップグレード後に使用されたメモリ値の SNMP 結果が正しくない |
|
|
Firepower 2100 で設定の同期中にハートビートエラーが発生し、AppAgent が登録解除される |
|
|
スレッド名のトレースバック:Lic TMR |
|
|
アイデンティティ NAT トラフィックおよびクラスタリング環境では、オフロード書き換えデータを修正する必要がある |
|
|
SGT 名が未解決のまま ACE で使用されている場合、回線が無視または非アクティブ状態にならない |
|
|
ASA のリロードで「content-security-policy」設定が削除される |
|
|
Cisco ASA および FTD ソフトウェアのコマンドインジェクションの脆弱性 |
|
|
ASA が HA の設定同期中にロガースレッドでトレースバックを生成することがある |
|
|
6.6.1 へのアップグレード後に FPR 2100 の Fail-to-wire ポートがフラッピングする |
|
|
ASA:デフォルトの IPv6/IPv4 ルートトンネリングが機能しない |
|
|
ISA3000 上の M500IT モデルのソリッドステートドライブが 3 年 2 ヵ月のサービス期間後に応答しなくなることがある |
|
|
ASA トレースバック:失効した証明書でリロードがトリガーされる AnyConnect クライアントの CRL チェック |
|
|
スレッド Crypto CA で ASA がトレースバックおよびリロードする |
|
|
リモートエンドで TFC が有効になっている状態で Firepower 2110 がトラフィックをサイレントにドロップする |
|
|
スレッド名 PTHREAD-4432 で ASA/FTD トレースバックする |
|
|
ASA/FTD で DHCP プロキシオファーがドロップされる |
|
|
管理のコンテキストが変更されると、マルチコンテキスト ASA から connect fxos admin で FXOS にアクセスできない |
|
|
ASA がスレッド名「webvpn_task」でトレースバックおよびリロードすることがある |
|
|
FPR-2100-ASA:最新バージョンの ASA インターフェイスで ifType の SNMP ウォークに「other」が表示される |
|
|
FMC から送信されたオブジェクトループによる lina のトレースバックを防ぎます。代わりに展開を失敗させます。 |
|
|
ASA/FTD が SNMP ホストグループオブジェクトの変更後にトレースバックすることがある |
|
|
OCSP 応答データのクリーンアップ中のに ASA がトレースバックおよびリロードする |
|
|
X-Frame-Options ヘッダーが webvpn 応答ページで設定されていない |
|
|
「show crashinfo」による新しい出力ログの追加で ASA がトレースバックおよびリロードする |
|
|
handle_agentx_packet / snmp で SNMP にトレースバックすると、FP1k および 5508 での起動に時間がかかる |
|
|
FPR2100 シリーズのプロセス lina での FTD のトレースバックおよびリロード |
|
|
ASA:FIPS が有効な場合、PAC ファイルをインポートできない |
|
|
フローオフロードによる一括ルーティング更新後にファイアウォール CPU が増加することがある |
|
|
DHCP GIADDR フィールドの IP アドレスが DHCP DECLINE を DHCP サーバに送信した後に反転する |
|
|
フローオフロードを有効にした状態で大量のルートを更新すると、CPU のパフォーマンスが低下する |
|
|
SSL midpath での ASA 9.15.1.7 トレースバックおよびリロード |
|
|
FIPS 障害による ASA のリロード |
|
|
ACL 設定を同時に変更すると、「show running-config」の出力が完全に中断される |
|
|
FPR4150 ASA Standby Ready ユニットのループが失敗し、設定を削除してインストールし直す必要がある |
|
|
ASA EIGRP ルートがネイバーの切断後にスタックする |
|
|
FTD クラスタ物理インターフェイスは、fxos インターフェイスステートがアップであっても、インラインモードではアップしない。 |
|
|
スレッド名 Unicorn Proxy Thread で FTD/ASA がトレースバックする |
|
|
IE および Windows プラットフォームの古いバージョンの X-Frame-Options ヘッダーのサポート |
|
|
スレッド名 fover_health_monitoring_thread でのトレースバック |
|
|
トランスペアレント コンテキストの削除中の SNMP 通知スレッドでの ASA トレースバックとリロード |
|
|
ASP キャプチャの dispatch-queue-limit にパケットがないと表示される |
|
|
マルチキャストが有効な場合、FTD での展開が失敗する |
|
|
FTD 6.6.1/6.7.0 が SNMP Ifspeed OID (1.3.6.1.2.1.2.2.1.5)応答値 = 0 を送信している |
|
|
スマートトンネルコード署名証明書の更新 |
|
|
データトンネルが起動する前に COA を受信すると、親セッションが切断される |
|
|
スレッド名 CTM Daemon での ASA トレースバックおよびリロード |
|
|
ASA 内部デッドロックにより、機能(syslog、リロード、ASDM、anyconnect)が失われる |
|
|
スレッド名 SNMP ContextThread での ASA トレースバックおよびリロード |
|
|
asa_run_ttyS0 スクリプトによるスレッド名 pix_startup_thread での ASA/FTD トレースバックおよびリロード |
|
|
ifmibポーリングの最適化 |
|
|
システムイメージをフラッシュにコピーするときのスレッド ci/console での ASA トレースバックおよびリロード |
|
|
SSL ポリシーを使用したファイル転送またはファイルアップロードが低速で、復号化の再署名アクションが適用される |
エンドユーザーライセンス契約書
エンドユーザーライセンス契約書の詳細については、http://www.cisco.com/jp/go/warranty [英語] にアクセスしてください。
関連資料
ASA の詳細については、『Navigating the Cisco ASA Series Documentation』[英語] を参照してください。
フィードバック