搜索已解决的问题
如果您有支持合同,可以通过思科漏洞搜索工具获取 Firepower 产品最新的已解决错误列表。这些常规查询显示已解决的、与运行 版本 6.4.0.x 修补程序的 Firepower 产品相关的问题:
可以将搜索范围限制为影响特定 Firepower 平台和版本的错误。还可以按错误 ID 搜索或者搜索特定关键字。
思科 Firepower 发行说明,版本 6.4.0.1、 6.4.0.2、6.4.0.3、 6.4.0.4、6.4.0.5 和 6.4.0.6
非歧视性语言
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
当地语言翻译版本说明
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
- 已更新:
- 2020年6月16日
Chapter: 已解决的问题
已解决的问题
当该修补程序最初发布时,所列的修补程序错误被证实已解决。
 注 |
为方便起见,本文档提供了每个补丁的已解决漏洞列表。这些列表会自动生成一次,并且随后不会进行更新。根据系统中特定解决问题的分类或更新方式(和时间),该问题可能不会显示在版本说明中。这并不意味着问题未得到解决。您应将思科缺陷搜索工具视为“真实的来源”。 |
新内部版本中已解决的问题
有时,思科会发布更新的内部版本。在大多数情况下,上只能找到每个平台最新的内部版本。 思科支持和下载站点我们 强烈建议您使用最新版本。如果您下载的是较旧的版本,请不要使用。
对于相同的 Firepower 版本,您无法从一个内部版本升级到另一个内部版本。如果新内部版本可以解决您的问题,请确定是否可以使用升级或热补丁。如果不可以,您必须卸载并重新安装。有时,您可能需要。
使用此表确定新版本 6.4.0.x版本是否适用于您的平台。
| 版本 | 新内部版本 | 已发布 |
平台 |
解决 |
|---|---|---|---|---|
|
6.4.0.2 |
35 |
2019-07-03 |
FMC/FMCv FTD/FTDv,除了 Firepower 1000 系列 |
CSCvq34224: Firepower 主要检测引擎进程在管理器升级后终止 如果您已升级到版本 6.4.0.2-34 并将 FTD 设备配置为高可用性,请应用修补程序 F。在 FMC 部署中,将修补程序应用于 FMC。在 FDM 部署中,将修补程序应用于两台设备。 此热补丁可从思科支持和下载站点获取,与版本 6.4.0.2 升级包位于同一位置。 |
版本 6.4.0.6 已解决的问题
| 漏洞 ID | 标题 |
|---|---|
|
入侵事件性能图形在 4100 和 9300 上加载空白 |
|
|
使用良好的服务器完成身份验证后,SDI 挂起的服务器会导致 15sec 延迟 |
|
|
ASA 增强功能:在 SDI 集群的成员更改状态后生成系统日志消息 |
|
|
当成员尝试加入集群时,VPN 集群 HA 计时器线程中的生成回溯 |
|
|
即使清除 OSPF 进程,OSPF 进程 ID 也不会更改 |
|
|
ENH:警告“找到重复元素”的 ACE 详细信息 |
|
|
ENH:将进程信息添加到 "命令已忽略,正在进行配置 ..." |
|
|
FTD 内联/透明通过入口接口向后发送数据包 |
|
|
cts 导入-pac tftp:语法不起作用 |
|
|
用于在 ASA 上显示访问列表上的端口号而不是众所周知的端口名称的选项 |
|
|
ASA HA IKEv2 通用 RA-AnyConnect 高级版备用中的所有使用不正确 |
|
|
Cisco ASA 和 Firepower 威胁防御软件 WebVPN 跨站脚本漏洞 |
|
|
ASA 上的 LINA 生成回溯重复高可用性主用设备 |
|
|
文件恢复块是随机引发的,导致 SMB 共享上的文件发生访问问题。 |
|
|
“写入期间数据过多”消息充斥通信通道 |
|
|
思科 ASA 和 FTD 软件 WebVPN CPU 拒绝服务漏洞 |
|
|
集群主设备重新加载导致管理虚拟 IP 的 ping 故障 |
|
|
使用 CAC (HTTPS 客户端证书)时,上传更新会使 "更新请求实体太大" 错误。 |
|
|
ASA 故障切换 LANTEST 消息在配置中的前 10 个接口上发送。 |
|
|
每台设备的 VPN 预部署验证大约需要 20 秒 |
|
|
FTD LINA 在 DATAPATH-8-15821 生成回溯 |
|
|
FP2100 流超订用环/CPU 核心,导致 FP2100 平台上的工作流中断 |
|
|
ENH:用于 syn cookie 问题的 ASA 集群调试 |
|
|
丢失的心跳导致重新加载 |
|
|
ASA 无法验证文件完整性 |
|
|
FTD 4150 VPN s2s 部署故障,6K 轮辐 |
|
|
FTD/ASA:在禁用 assert snp_tcp_intercept_assert_ 的数据路径中回溯 |
|
|
配置 NAT 后,对 FP 8000 传感器的策略部署失败 |
|
|
由于 SSL 协商问题,SSL VPN 可能无法建立 |
|
|
当只有 IP 通信在故障切换链路上中断时,LANTEST 消息不会在数据接口上发送 |
|
|
在丢失握手消息后,连接事件停止来自设备 |
|
|
将 EZVPN spoke 移动到设备时,发现出现 ASA 回溯。 |
|
|
双堆叠 ASAv 手动故障切换问题 |
|
|
线程名称 ssh 中出现 ASA5515-K9 备用回溯 |
|
|
线程名称 IPv6 ID 中的 Saleen 上出现 ASA 回溯 |
|
|
在修复所有漏洞之前,从 fp2100 禁用 asp 负载均衡功能 |
|
|
回溯:线程名称“群集控制器”中出现群集单元 lina 断言 |
|
|
ASA 集群不刷新 OSPF 路由 |
|
|
慢速 "securityzones" REST API |
|
|
FPR2100 FTD 备用设备泄漏 9K 块 |
|
|
由于 mysql-server 而导致的磁盘使用率高,在 CSCvn30118 后未能旋转 |
|
|
ASA:对目标 3 跳离开的 BGP 递归路由查找失败。 |
|
|
MC4000 的 F_RNA_EVENT_LIMIT 应为 20,000,000 |
|
|
由于端口通道上的故障切换描述符不匹配,连接无法在故障切换中复制 |
|
|
在枚举 Internal-Internal-data0/1 时,ASA 会生成有关 PCI cfg 空间的错误消息 |
|
|
FMC 上不显示 12和 1 PM UTC 之间的 VPN 事件 |
|
|
无法使用管理 VRF 进行 DNS 查找,因为 FMC 不允许在服务器地址后使用接口 |
|
|
主用设备未报告正确的对等体状态。 |
|
|
流分流散列行为更改 |
|
|
线程 IPsec 消息处理程序中生成 ASA 回溯 |
|
|
当在增量 cli 的仅 LINA 部分出错时,部署回滚会导致暂时丢弃流量 |
|
|
Where 子句不能用于外部数据库访问 |
|
|
由于 deployDB 的构成错误,策略部署在安全 zone 中的 400 + 接口失败 |
版本 6.4.0.5 已解决的问题
| 漏洞 ID | 标题 |
|---|---|
|
在 ISE 可用时,从 ISE 读取 sAMAccountUserName |
|
|
IPS 事件缺少元数据的 InlineResult“将被阻止” |
|
|
URL 过滤将所有 URL 显示为“未分类” |
|
|
升级异常导致策略部署失败:映射文件中缺少 NGFW_UPGRADE |
|
|
在 FTD 升级期间,为多个接口对内联集禁用了线路配置失败 |
|
|
启用 SSL 策略后,安全情报不会丢弃列入黑名单的 URL 的 HTTPS 连接 |
|
|
添加新用户后,必须在 FMC UI 中禁用并重新启用 SNMP |
|
|
使用消息 "未知 HPQ 规则密钥" 来淹没日志 |
|
|
无法使用包含大小写 RADIUS 的 AD 用户名登录 |
|
|
升级后删除的 SNMPv3 用户 |
|
|
SSL 策略中的 "源网络中存在空组" (Warrning) |
|
|
如果密码中包含空格,则用户登录会失败到 LDAP 用户的 FMC GUI 中 |
|
|
文件策略未检查某些恶意软件文档(.doc)和 Adobe flash (swf)文件。 |
|
|
与设备相关的 REST API 调用缓慢 |
|
|
FMT |MTU 值不在允许的范围内 |
|
|
由于 domain_snapshot_timeout (20m),从 FMC 到 FTD 的策略部署失败 |
版本 6.4.0.4 已解决的问题
| 漏洞 ID | 标题 |
|---|---|
|
线程名称的回溯:DATAPATH-2-1785 |
|
|
对于一般微引擎故障,为误报 |
|
|
ASA IKEv2 无法打开 aaa 会话:已达到会话限制 [2048] |
|
|
ASA 线程回溯:DATAPATH-8-2035 |
|
|
从主用设备(inc cachefs_umount)同步配置时,ASA 生成回溯(监视程序超时) |
|
|
"默认密钥环的证书无效,原因:已过期" 运行状况警报 |
|
|
ASA 上的 DATAPATH 的回溯 |
|
|
路由跟踪失败 |
|
|
ENH: ASA - 在多模式下支持 4 台以上服务器。 |
|
|
高可用性链路上的端口通道问题 |
|
|
IKEv2: IKEv2-PROTO-2:未能从平台分配 PSH |
|
|
在 Firepower 软件上查看 CVE-2016-8858 (OpenSSH) |
|
|
正常重启 BGP 不会间歇性工作 |
|
|
控制平面 ACL 在 FTD 上无法正常工作 |
|
|
ASA 多情景生成回溯,由于分配接口超出范围命令而重新加载 |
|
|
FXOS lacp 相关的日志 pktmgr.out 和 lacp.out 变得过大 |
|
|
当在从属设备上启用集群时,ASA 可能会在线程记录器中生成回溯 |
|
|
ASA 在等待 "dns_cache_timer" 进程完成时可能会生成回溯和重新加载。 |
|
|
Cisco FirePower 威胁防御信息泄露漏洞 |
|
|
释放内存块时,在线程名称 DATAPATH-0-1668 中回溯 |
|
|
ASA SCP 转移到 box 延迟中间传输 |
|
|
线程 SSH 中的 ASA 回溯 |
|
|
Lina 未正确报告过长的配置行错误 |
|
|
SCP 大文件传输到盒子中会导致生成回溯 |
|
|
ASA 应用在少量映像上停滞安装状态 |
|
|
ASA:发生故障切换后,在路由表上清除 BGP 路由,并且更改了 bgp 路由 |
|
|
引用数据路径作为受影响的线程时回溯和重新加载 |
|
|
仅辅助 FTD 上的诊断 I/F 管理消失 |
|
|
ASA 可能生成回溯并重新加载。可能与 WebVPN 流量相关 |
|
|
6.4.0 - 当管理网关配置为数据接口时,IPv6 路由不适用于 WM 和 KP |
|
|
思科自适应安全设备智能隧道漏洞 |
|
|
执行手动故障切换时,备用防火墙使用生成回溯重新加载 |
|
|
使用 w3m 的 ipv6 的 HTTP 失败 |
|
|
ASA 以纯文本形式发送 "copy" 命令的密码 |
|
|
ASA 无法通过 https 对具有特殊字符的用户进行身份验证 |
|
|
不应将 LACPDUs 发送到内联集接口的 snort |
|
|
重启后,接口配置中的 delay 命令会被修改 |
|
|
ASA 可能生成回溯并重新加载。怀疑 webvpn 相关 |
|
|
ASAv Azure:当 ASAv 故障切换时,路由表 BGP 传播设置重置 |
|
|
无法处理报头 TEID:0 的 gtpv1 标识请求消息 |
|
|
ASA 丢弃 GTPV1 SGSN Context 请求消息,标题为 TEID:0 |
|
|
ASA/FTD 会为缺失 SSD 2 生成系统日志:/dev/sdb 存在。状态:不可操作。 |
|
|
在入侵策略上禁用全局规则阈值时,系统日志警报不会发送到服务器 |
|
|
升级到 9.6.2 之后,“已建立的 tcp”无法运行 |
|
|
ASA 为 POST 请求发送无效的重定向响应 |
|
|
IKEv2 RA 通用客户端-阻塞的外发 asp 表条目-使用过时 SPI 加密的流量 |
|
|
无法配置超过 100 aaa-已达到服务器组限制 |
|
|
适用于 WR8 的 CCM 基础设施更新 |
|
|
如果配置为 DHCP 中继,则由 ASA 从 DHCP 服务器发送的 DHCP NACK 静默丢弃 |
|
|
故障时(FTW)端口无法在 2100 Firepower 平台上恢复。 |
|
|
FTD 集群生成回溯在其他设备离开集群时遇到 |
|
|
SFR 模块/7000/8000 设备的审核系统日志使用 TCP 而非 UDP 进行系统日志通信 |
|
|
故障关闭 FTD 通过 Snort 进程传递数据包 |
|
|
IP 地址滞留在本地池中,并显示为 "正在使用",即使 AnyConnect 客户端断开连接 |
|
|
线程名称: CP DP SFR 事件处理生成回溯 |
|
|
ASA 不响应 BVI 接口上的 DHCP 请求数据包 |
|
|
重新启动后,"ssh 版本 1 2" 已添加到运行配置 |
|
|
在重新启动 Firepower 机箱后,ASA 故障切换分裂大脑(两台设备处于活动状态) |
|
|
使用 RADIUS 的 MCA + AAA + OTP 无法在质询中发送 aggauth 句柄 |
|
|
系统日志消息中的时间 zone |
|
|
网络发现部署后,rna_networks 为空。 |
|
|
在运行多个设备的同时部署时,FTD/Firepower 策略部署会失败。 |
|
|
客户端 WebVPN 重写程序中不支持的运行时 JavaScript 异常处理 |
|
|
Firepower:网络文件轨迹图未加载 |
|
|
ASA 9.9.2 无客户端 WebVPN-HTML 实体在处理 HTML 时被错误地解码 |
|
|
LINA 线程上的 FTD 生成回溯和重新加载 |
|
|
Snort 在系列 3 设备上处理转储核心,内存损坏 |
|
|
由于特殊字符 & 编码,策略部署失败 |
|
|
Snort 验证中的部署失败-SMTP:无法分配 SMTP mime cisco-enhanced-mempool-mib |
|
|
回溯: "saml identity-provider" 命令导致多个上下文 ASA 崩溃 |
|
|
尽管已修复 CSCvj98964,ASA 仍有可能因 SCTP 流量而回溯 |
|
|
删除情景时,ssh 密钥交换将全局变为默认值! |
|
|
在通过 CLI 恢复备份时,将删除 "ssl 信任点" 命令 |
|
|
ASA IKEv2-ASA 在启动第 2 阶段密钥更新后发送额外的删除消息 |
|
|
当日志记录到缓冲区时,ASAv 上的监视器 |
|
|
关联规则警报在 6.4.0 中不起作用 |
|
|
不明原因的 GTP 响应消息将被丢弃,错误消息 TID 为 0 |
|
|
当 ASA-SFR 数据平面通信摆动时观察到内存泄漏 |
|
|
TID 无法将源添加为 URL 平面文件 |
|
|
升级到 6.4.0 之后,packet_log 表中插入 SFDC 崩溃 |
|
|
未通过系统日志导出失败的 SSH 登录尝试 |
|
|
Firepower 主检测引擎进程可能在管理器升级后终止 |
|
|
FMC 上的 URL DB 下载失败警报;新 URL 数据库更新在 FMC/FDM 上不会生效 |
|
|
更新到 6.4.0 后,流量未匹配预期的 ACP 规则 |
|
|
删除的 URL 对象不会从 ngfw.rules 中删除。 |
|
|
从 6.4.0-102 > 6.4.0.4-31 升级 5525 时,FMC GUI 中出现致命错误消息,但升级完成 |
版本 6.4.0.3 已解决的问题
| 漏洞 ID | 标题 |
|---|---|
|
GUI 应允许每个 DHCP 池最多 256 个地址 |
|
|
由于超出 TCP 连接限制错误,AnyConnect 连接失败 |
|
|
由于解析大 xml 响应时出现异常,在 FTD HA 上部署失败 |
|
|
如果在同一向导流中编辑了策略组属性和 FQDN,则无法创建 RAVPN Conn-Profile |
|
|
FDM-HA 构造在升级到 6.3.0.3-69 后失败 |
|
|
帮助页面始终以英文显示 |
|
|
在 5585 平台上重新加载 ASA 模块后,ASA 报告 SFR 模块为“无响应” |
|
|
FMC 6.3 多租户/域 LDAPS 用户/组下载失败,因为证书位置 |
|
|
每次加载“网络文件轨迹”页面大约需要 90 秒 |
|
|
由于未处理的资源暂时不可用,Firepower 8000 接口可能已摆动 |
|
|
FTD show tech from 故障排除文件不完整 |
|
|
子域中的接口组或接口 zone 中的更改覆盖全局域。 |
|
|
nfm_exceptiond 的 natd 线程大约占用 90% 至 100% 的 CPU 时间 |
|
|
FMC UI: VPN 中心和辐射型拓扑加载缓慢 |
|
|
从 FMC 到 vFTD 的 BCDB 文件副本被截断,vFTD 在 Azure 平台上运行。 |
|
|
在运行 FTD 的 ASA5500-X 中升级到 6.4 之后部署失败 |
|
|
HTTP 黑名单 - 黑名单规则在未分配和从 FMC 中部署时,不会从传感器中删除 |
|
|
6.5.0-1148 在 SSL 极化导出期间使用 CC 模式和 openSSL 调用升级之后策略部署失败 |
|
|
在重置 CD 上,未清除其标志 [parseFailoverReqIssued] 以防止进一步的节点加入尝试 |
|
|
FMC 6.4.0 - 策略部署失败,domains.conf 中存在重复的域条目 |
|
|
如果数据库更新失败,600_schema/100_update_database. sh 应返回错误。 |
版本 6.4.0.2 已解决的问题
| 漏洞 ID | 漏洞 ID |
|---|---|
|
升级到 6.2.2 后,无法通过 ASDM 编辑 SFR 模块的系统策略 |
|
|
尽管存在文件策略判定,系统仍允许 FTD 文件通过多个预先存在的连接 |
|
|
FTD 中的 sfstunnel 进程正在保存已删除的大型云数据库文件 |
|
|
tcp 代理:DATAPATH 上的 ASA 回溯 |
|
|
将内联集从分流切换到内联时,712x 设备变得不稳定 |
|
|
4140 多实例未正确实现负载均衡(含 4 个实例) |
|
|
加载 AC 策略编辑器需要太长时间,需要加载指示器 |
|
|
在部署到 3D 设备 -GUI/SYSLOG 时,FMC 审计日志仅将管理员和系统显示为所有者 |
|
|
FTD 上的 EC 曲线 x25519 不受支持 |
|
|
FTDv 没有关于 vmxnet3 和 ixgbevf 混合接口初始启动的配置 |
|
|
FPR 平台 IPsec VPN 断断续续 |
|
|
在具有低内存的 FTD 上部署将导致接口名称被删除 |
|
|
将 ASA 群集升级到 9.10.1.7 会导致回溯 |
|
|
添加新子接口并启用“mac-address auto”时,EIGRP 中断 |
|
|
自适应剖析配置文件损坏导致部署失败 |
|
|
firewall_rule_cache 表过大导致 ids_event_alerter 内存使用率高 |
|
|
非标准端口上的 Mysql 流量未正确分类 |
|
|
如果 ngfw.properties 为空,ngfwManager 不正确启动 |
|
|
FMC 显示数据包计数为 0 的连接事件 |
|
|
FTD-CLUSTER:在群集中添加新单元可能导致流量下降 |
|
|
由于在重新生成密钥期间未释放 PKI 句柄,VPN 会话失败 |
|
|
审核日志设置失败导致无法编辑系统设置 |
|
|
可扩展性:UMS 具有 500 多个设备,导致 UI 挂起,尤其是在部署期间 |
|
|
增强功能以解决由于隧道替换方案而导致的 IKE CPU 使用率高的问题 |
|
|
发出 "show inventory" 命令时 ASA 追溯并重新加载 |
|
|
编辑访问控制策略时出现内部错误 |
|
|
运行 IKE 调试时 ASA 回溯并重新加载 |
|
|
当 FMC 管理大量设备时,不发送遥测 |
|
|
增强功能:为重复远程代理添加计数器 |
|
|
对于 SMB,远程存储配置应允许使用点 (.) 配置版本字符串 |
|
|
不解密规则会导致流量中断。 |
|
|
生成大量连续 URL 查找 (>30M) 后的云代理核心 |
|
|
具有 App-ID 条件的 SSL 规则可能会限制解密功能 |
|
|
当您有重复的规则时,NAT 规则可能会以错误的顺序应用 |
|
|
FMC 在获取用于部署的设备列表 10 分钟后超时 |
|
|
Firepower 建议不启用是 GID 3 的 IPS 规则 |
|
|
Cisco Firepower 管理中心 RSS 跨站脚本漏洞 |
|
|
FMC 上用户身份功能的运行状况监控选项。 |
|
|
DTLS 1.2 和 AnyConnect oMTU |
|
|
ENH - 在 FTD 上配置端口块分配的选项 |
|
|
ASA:在 Datapath 中回溯看门狗信息 |
|
|
FTD lina 核心采用进程名称:cli_xml_server |
|
|
允许 FTD 直接执行 URL 查找,而无需通过 FMC |
|
|
FTD 添加的随机 SGT 标签 |
|
|
(snort) 通过 HTTPS 时未检测到文件(SSL 重新签名) |
|
|
当我们通过 FMC GUI 将 OSPF 重新分配到 BGP 时,FTD 会自动设置公制 0。 |
|
|
适用于 6.5.0 之前的思科 Firepower 管理中心的多个 ClamAV 漏洞 |
|
|
从失败的策略部署回滚后,FIPS 模式被禁用 |
|
|
如果显式 UPN 与隐式 UPN 不匹配,则 FMC-ISE 集成不起作用 |
|
|
线程名称 octnic_hm_thread 中 ASA 5506/5508/5516 回溯 |
|
|
REST API 查询 /api/fmc_config/v1/domain/UUID/devices/devicerecords 失败 |
|
|
在升级的 FMC 设备上,即使部署成功,FXOS 设备也显示为脏污。 |
|
|
使用模糊的 DND 时,匹配的是错误的规则 |
|
|
集成 pxgrid 功能,连接挂起,curl 挂起问题 |
|
|
部署 Flex Config 策略时出现误导性部署警告消息 |
|
|
策略部署删除并加回 ospf 邻居 |
|
|
当有超过 500 个受管设备时,在 FMC 上加载设备管理页面的速度很慢 |
|
|
NAT 策略应用失败,错误重复 |
|
|
确保具有重复 NAT 的错误消息被清除且可操作 |
|
|
升级到 6.4 之后,FMC 全局预部署阶段需要更长时间 |
|
|
策略部署失败,错误 snort 验证失败(为 memcap 指定了错误的值) |
|
|
Firepower 主检测引擎进程在管理器升级后终止 |
版本 6.4.0.1 已解决的问题
| 漏洞 ID | 标题 |
|---|---|
|
会话预处理器丢弃随机数据包 |
|
|
网络发现不适用于包含文字的网络组 - 用户或思科创建。 |
反馈