Cisco ASA シリーズ 9.16(x) リリースノート

このドキュメントには、Cisco ASA ソフトウェアバージョン 9.16(x) のリリース情報が記載されています。

特記事項

  • MD5 ハッシュと DES 暗号化を使用する SNMPv3 ユーザーはサポートされなくなり、9.16(1) にアップグレードするとユーザーが削除されます。アップグレードする前に、snmp-server user コマンドを使用してユーザー設定をより高いセキュリティアルゴリズムに変更してください。

  • 9.16(1) では SSH ホストキーアクションが必要:RSA に加えて、EDDSA および ECDSA ホストキーのサポートが追加されました。ASA は、存在する場合、EDDSA、ECDSA、RSA の順にキーの使用を試みます。9.16(1) にアップグレードすると、ASA は既存の RSA キーを使用するようにフォールバックします。ただし、できるだけ早くcrypto key generate {eddsa | ecdsa} コマンドを使用してセキュリティレベルの高いセキュリティキーを生成することを推奨します。また、ssh key-exchange hostkey rsa コマンドで RSA キーを使用するように ASA を明示的に設定する場合は、2048 ビット以上のキーを生成する必要があります。アップグレードの互換性のために、ASA はデフォルトのホストキー設定が使用されている場合にのみ、より小さい RSA ホストキーを使用します。RSA のサポートは今後のリリースで削除されます。

  • 2048 よりも小さい RSA キーは、9.16(1) では生成できませんcrypto key generate rsa コマンドを使用して 2048 よりも小さい RSA キーを生成することはできません。

    SSH の場合、アップグレード後も既存の小さいキーを引き続き使用できますが、より大きなサイズまたはより高いセキュリティキータイプにアップグレードすることを推奨します。

    その他の機能については、2048 よりも小さい RSA キーサイズで署名された既存の証明書は、ASA 9.16.1 以降では使用できません。crypto ca permit-weak-crypto コマンドを使用して既存の小さいキーの使用を許可できますが、このコマンドを使用しても、新しい小さい RSA キーを生成することはできません。

  • ssh version コマンドは 9.16(1) で削除されました:このコマンドは削除されました。SSH バージョン 2 のみサポートされます。

  • SAMLv1 機能は 9.16(1) で削除されました:SAMLv1 のサポートは削除されました。

  • 9.16(1) では DH グループ 2、5、24 はサポートされません:SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。ssl dh-groupコマンドが更新され、コマンドオプション group2group5およびgroup24が削除されました。

  • シスコは、ASA バージョン 9.17(1) で有効なクライアントレス SSL VPN の非推奨機能を発表しました。9.17(1) より前のリリースでは、限定的なサポートが継続されます。より堅牢で新しいソリューション(たとえば、リモート Duo ネットワークゲートウェイ、AnyConnect、リモートブラウザの分離機能など)への移行オプションに関する詳細なガイダンスを提供します。

  • ASA 9.15(1) 以降では、ASA 5525-X、ASA 5545-X、および ASA 5555-X はサポート対象外:ASA 9.14(x) がサポートされている最後のバージョンです。ASA FirePOWER モジュールについては、6.6 がサポートされている最後のバージョンです。

  • Firepower 1010 の場合の無効な VLAN ID による問題発生の可能性:9.15(1) 以降にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。

  • Chacha-poly 暗号:AnyConnect には、更新された一連のサポートされている暗号化アルゴリズムがあります。『AnyConnect Secure Mobility Client Features, Licenses, and OSs, Release 4.10』[英語] は、TLS ベースの VPN トラフィックを開始するときに ASA に提案されます。

システム要件

このセクションでは、このリリースを実行するためのシステム要件を一覧表で示します。

ASA と ASDM の互換性

ASA/ASDM ソフトウェアおよびハードウェアの要件およびモジュールの互換性を含む互換性の詳細については、『Cisco ASA Compatibility』を参照してください。

新機能

このセクションでは、各リリースの新機能を示します。


(注)  

syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。


ASA 9.16(3) の新機能

リリース日:2022 年 4 月 6 日

このリリースに新機能はありません。

ASA 9.16(2) の新機能

リリース:2021 年 8 月 18 日

このリリースに新機能はありません。

ASA 9.16(1) の新機能

リリース日:2021 年 5 月 26 日

機能

説明

ファイアウォール機能

システム定義の NAT ルールの新しいセクション 0

新しいセクション 0 が NAT ルールテーブルに追加されました。このセクションは、システムの使用に限定されます。システムが正常に機能するために必要なすべての NAT ルールがこのセクションに追加され、これらのルールは作成したルールよりも優先されます。以前は、システム定義のルールがセクション 1 に追加され、ユーザー定義のルールがシステムの適切な機能を妨げる可能性がありました。セクション 0 のルールを追加、編集、または削除することはできませんが、show nat detail コマンド出力に表示されます。

デフォルトの SIP インスペクション ポリシー マップは、非 SIP トラフィックをドロップします。

SIP インスペクションされるトラフィックでは、現在、デフォルトでは非 SIP トラフィックがドロップされます。以前のデフォルトでは、SIP のインスペクション対象ポートで非 SIP トラフィックが許可されていました。

デフォルトの SIP ポリシーマップが変更され、no traffic-non-sip コマンドが追加されました。

GTP インスペクションでドロップされる IMSI プレフィックスを指定する機能です。

GTP インスペクションでは、許可する Mobile Country Code/Mobile Network Code(MCC/MNC)の組み合わせを識別するために、IMSI プレフィックス フィルタリングを設定できます。ドロップする MCC/MNC の組み合わせに対して IMSI フィルタリングを実行できるようになりました。これにより、望ましくない組み合わせをリストにして、デフォルトで他のすべての組み合わせを許可することができます。

drop mcc コマンドが追加されました。

初期接続の最大セグメントサイズ(MSS)を設定します。

サービスポリシーを設定して、初期接続制限に達したときに初期接続の SYN cookie を生成するためのサーバの最大セグメントサイズ(MSS)を設定できます。これは、最大初期接続数も設定するサービスポリシーの場合に意味があります。

新規/変更されたコマンド:set connection syn-cookie-mss

多対 1 および 1 対多接続の CPU 使用率とパフォーマンスが向上しました。

ダイナミック NAT / PAT およびスキャン脅威検出とホスト統計情報を含む接続を除き、システムは接続の作成時に、ローカルホストオブジェクトを作成せず、ロックすることもなくなりました。これにより、多数の接続を同じサーバー(ロードバランサや Web サーバーなど)に対して確立する場合や、1 つのエンドポイントが多数のリモートホストに接続する場合に、パフォーマンスと CPU 使用率が向上します。

次のコマンドが変更されました:clear local-host (廃止)、 show local-host

プラットフォーム機能

VMware ESXi 7.0 用の ASAv サポート

ASAv 仮想プラットフォームは、VMware ESXi 7.0 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェアバージョンが追加され、ESXi 7.0 で ASAv の最適なパフォーマンスと使いやすさを実現しました。

変更されたコマンドはありません。

変更された画面はありません。

ASAv の Intel® QuickAssist テクノロジー(QAT)

ASAv は、 Intel QuickAssist(QAT)8970 PCI アダプタを使用する ASAv 展開にハードウェア暗号化アクセラレーションを提供します。ASAv を使用した ASAv のハードウェア暗号化アクセラレーションは、VMware ESXi および KVM でのみサポートされます。

変更されたコマンドはありません。

変更された画面はありません。

OpenStack の ASAv

ASAv 仮想プラットフォームに OpenStack のサポートが追加されました。

変更されたコマンドはありません。

変更された画面はありません。

ハイ アベイラビリティとスケーラビリティの各機能

Firepower 4100/9300 でのクラスタリングの PAT ポートブロック割り当てが改善されました

PAT ポートブロック割り当ての改善により、制御ユニットはノードに参加するためにポートを確保し、未使用のポートを積極的に再利用できるようになります。割り当てを最適化するために、cluster-member-limit コマンドを使用して、クラスタ内に配置する予定の最大ノードを設定できます。これにより、制御ユニットは計画されたノード数にポートブロックを割り当てることができ、使用する予定のない追加のノード用にポートを予約する必要がなくなります。デフォルトは 16 ノードです。また、syslog 747046 を監視して、新しいノードに使用できるポートが十分にあることを確認することもできます。

新規/変更されたコマンド:cluster-member-limit show nat pool cluster [summary] show nat pool ip detail

show cluster history コマンドの改善

show cluster history コマンドの出力が追加されました。

新規/変更されたコマンド: show cluster history brief show cluster history latest show cluster history reverse show cluster history time

Firepower 1140 の最大コンテキスト数が 5 から 10 に増加

Firepower 1140 は、最大 10 のコンテキストをサポートするようになりました。

証明書の機能

認定のための Enrollment over Secure Transport(EST)

ASA は、Enrollment over Secure Transport(EST)を使用した証明書の登録をサポートしています。ただし、EST 登録は、RSA キーおよび ECDSA キーとのみ使用するように設定できます。EST 登録用に設定されたトラストポイント用に EdDSA キーペアを使用することはできません。

新規/変更されたコマンド:enrollment protocol crypto ca authenticate 、およびcrypto ca enroll

新しい EdDSA キーのサポート

新しいキーオプション EdDSA が、既存の RSA および ECDSA オプションに追加されました。

新規/変更されたコマンド:crypto key generate crypto key zeroize show crypto key mypubkey

証明書キーの制限を上書きするコマンド

認定に SHA1with RSA 暗号化アルゴリズムを使用するためのサポート、および RSA キーサイズが 2048 未満の証明書のサポートが削除されました。crypto ca permit-weak-crypto コマンドを使用して、これらの制限を上書きできます。

新規/変更されたコマンド: crypto ca permit-weak-crypto

管理およびトラブルシューティングの機能

SSH セキュリティの改善

SSH が次の SSH セキュリティの改善をサポートするようになりました。

  • ホストキーの形式:crypto key generate {eddsa | ecdsa} 。RSA に加えて、EdDSA および ECDSA ホストキーのサポートが追加されました。ASA は、存在する場合、EdDSA、ECDSA、RSA の順にキーの使用を試みます。ssh key-exchange hostkey rsa コマンドで RSA キーを使用するように ASA を明示的に設定する場合は、2048 ビット以上のキーを生成する必要があります。アップグレードの互換性のために、ASA はデフォルトのホストキー設定が使用されている場合にのみ、より小さい RSA ホストキーを使用します。RSA のサポートは今後のリリースで削除されます。

  • キー交換アルゴリズム:ssh key-exchange group {ecdh-sha2-nistp256 | curve25519-sha256}

  • 暗号化アルゴリズム:ssh cipher encryption chacha20-poly1305@openssh.com

  • SSH バージョン 1 はサポートされなくなりました。ssh version コマンドは削除されました。

新規/変更されたコマンド:crypto key generate eddsa crypto key zeroize eddsa show crypto key mypubkeyssh cipher encryption chacha20-poly1305@openssh.com ssh key-exchange group {ecdh-sha2-nistp256 | curve25519-sha256} ssh key-exchange hostkey ssh version

モニタリング機能

SNMPv3 認証

ユーザー認証に SHA-224 および SHA-384 を使用できるようになりました。ユーザー認証に MD5 を使用できなくなりました。

暗号化に DES を使用できなくなりました。

新規/変更されたコマンド:snmp-server user

VPN 機能

スタティック VTI での IPv6 のサポート

ASA は、仮想トンネルインターフェイス(VTI)の設定で IPv6 アドレスをサポートしています。

VTI トンネル送信元インターフェイスには、トンネルエンドポイントとして使用するように設定できる IPv6 アドレスを設定できます。トンネル送信元インターフェイスに複数の IPv6 アドレスがある場合は、使用するアドレスを指定できます。指定しない場合は、リストの最初の IPv6 グローバルアドレスがデフォルトで使用されます。

トンネルモードは、IPv4 または IPv6 のいずれかです。ただし、トンネルをアクティブにするには、VTI で設定されている IP アドレスタイプと同じである必要があります。IPv6 アドレスは、VTI のトンネル送信元インターフェイスまたはトンネル宛先インターフェイスに割り当てることができます。

新規/変更されたコマンド:tunnel source interface tunnel destination tunnel mode

デバイスあたり 1024 個の VTI インターフェイスのサポート

デバイスに設定できる VTI の最大数が、100 個から 1024 個に増加しました。

プラットフォームが 1024 個を超えるインターフェイスをサポートしている場合でも、VTI の数はそのプラットフォームで設定可能な VLAN の数に制限されます。たとえば、ASA 5510 は 100 個の VLAN をサポートしているため、トンネル数は 100 から設定された物理インターフェイスの数を引いた数になります。

新規/変更されたコマンド:なし

SSL の DH グループ 15 のサポート

SSL 暗号化の DH グループ 15 のサポートが追加されました。

新規/変更されたコマンド: ssl dh-group group15

IPsec 暗号化の DH グループ 31 のサポート

IPsec 暗号化の DH グループ 31 のサポートが追加されました。

新規/変更されたコマンド: set pfs

IKEv2 キューの SA を制限するサポート

SA-INIT パケットのキュー数を制限するサポートが追加されました。

新規/変更されたコマンド: crypto ikev2 limit queue sa_init

IPsec 統計情報をクリアするオプション

IPsec 統計情報をクリアおよびリセットするための CLI が導入されました。

新規/変更されたコマンド:clear crypto ipsec stats およびclear ipsec stats

ソフトウェアのアップグレード

このセクションには、アップグレードを完了するためのアップグレードパス情報とリンクが記載されています。

ASA のアップグレードパス

現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。

  • ASDM:[Home] > [Device Dashboard] > [Device Information] の順に選択します。

  • CLI:show version コマンドを使用します。

次の表に、ASA のアップグレードパスを示します。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要な場合があります。推奨バージョンは太字で示されています。


(注)  

開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。



(注)  

ASA のセキュリティの問題と、各問題に対する修正を含むリリースについては、ASA Security Advisories を参照してください。



(注)  

ASA 9.14(x) は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。

ASA 9.12(x) は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、

ASA 9.2(x) は ASA 5505 用の最終バージョン、

ASA 9.1(x) は ASA 5510、5520、5540、5550、および 5580 用の最終バージョンです。


現在のバージョン

暫定アップグレードバージョン

ターゲットバージョン

9.15(x)

次のいずれかになります。

9.16(x)

9.14(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

9.13(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

9.14(x)

9.12(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.10(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.12(x)

9.9(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.12(x)

9.8(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.12(x)

9.7(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.12(x)

→ 9.8(x)

9.6(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.12(x)

→ 9.8(x)

9.5(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.12(x)

→ 9.8(x)

9.4(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.12(x)

→ 9.8(x)

9.3(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.12(x)

→ 9.8(x)

9.2(x)

次のいずれかになります。

9.16(x)

→ 9.15(x)

→ 9.14(x)

9.12(x)

9.8(x)

9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4)

次のいずれかになります。

→ 9.14(x)

9.12(x)

→ 9.8(x)

→ 9.1(7.4)

9.1(1)

→ 9.1(2)

次のいずれかになります。

9.14(x)

9.12(x)

→ 9.8(x)

→ 9.1(7.4)

9.0(2)、9.0(3)、または 9.0(4)

次のいずれかになります。

9.14(x)

9.12(x)

→ 9.8(x)

→ 9.6(x)

→ 9.1(7.4)

9.0(1)

→ 9.0(4)

次のいずれかになります。

→ 9.14(x)

9.12(x)

→ 9.8(x)

→ 9.1(7.4)

8.6(1)

→ 9.0(4)

次のいずれかになります。

→ 9.14(x)

9.12(x)

→ 9.8(x)

→ 9.1(7.4)

8.5(1)

→ 9.0(4)

次のいずれかになります。

9.12(x)

→ 9.8(x)

→ 9.1(7.4)

8.4(5+)

次のいずれかになります。

9.12(x)

→ 9.8(x)

→ 9.1(7.4)

→ 9.0(4)

8.4(1) ~ 8.4(4)

→ 9.0(4)

9.12(x)

→ 9.8(x)

→ 9.1(7.4)

8.3(x)

→ 9.0(4)

次のいずれかになります。

9.12(x)

→ 9.8(x)

→ 9.1(7.4)

8.2(x) 以前

→ 9.0(4)

次のいずれかになります。

9.12(x)

→ 9.8(x)

→ 9.1(7.4)

アップグレードリンク

アップグレードを完了するには、『Cisco ASA Upgrade Guide』を参照してください。

未解決のバグおよび解決済みのバグ

このリリースで未解決のバグおよび解決済みのバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。


(注)  

Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントがない場合は、アカウントを登録できます。シスコサポート契約がない場合は、ID でのみバグを探すことができます。検索は実行できません。


Cisco Bug Search Tool の詳細については、Bug Search Tool(BST)ヘルプおよび FAQ を参照してください。

バージョン 9.16(x) で未解決のバグ

次の表に、このリリースノートの発行時点で未解決のバグを示します。

ID

見出し

CSCvz69729

不安定なクライアントプロセスは、FTD で LINA zmqio トレースバックを引き起こす可能性がある

CSCwa68552

ASA 9.12-9.15 から 9.16 へのアップグレード時にすべてのタイプ 8 のパスワードが失われ、フェールオーバーが無効になる

CSCwa79915

FP2100:半二重の物理ポートにより、LINA を離れるすべてのパケットがシャーシによってドロップする

CSCwa99153

FTD を実行している FPR2100 により、パケットがドロップし、パフォーマンスが低下する場合がある

CSCwb04000

ASA/FTD:VTI にルーティングされるパケットに DF ビットが設定されている

CSCwb09606

ASA/FTD ハイアベイラビリティは、予期しない lacp プロセスの終了に対して回復力がない

CSCwb24039

ルーティングでの ASA のトレースバックとリロード

CSCwb31699

プライマリはリロード後にアクティブな役割を果たします

CSCwb32841

NAT (any,any) ステートメントは、フェールオーバー インターフェイスの状態を示し、結果としてスプリット ブレイン イベントが発生する

CSCwb42978

SSH/TELNET/HTTP/TFTP 設定で無効なネットマスクを受け入れる ASA

解決済みのバグ

このセクションでは、リリースごとに解決済みのバグを一覧表で示します。

バージョン 9.16(3) で解決済みのバグ

次の表に、このリリースノートの発行時点で解決済みのバグを示します。

ID

見出し

CSCvi58484

クラスタ:別のクラスタユニットに応答が着信する場合は、外部 IP への FTD/ASA を送信元とする ping が失敗することがある

CSCvs27336

Smart Call Home プロセスにより ASA がトレースバックする

CSCvt15348

マルチコアプラットフォームで ASA show processes cpu-usage output が誤解を招く

CSCvu96436

特定のロックが長時間競合した場合のマスターと 1 つのスレーブのトレースバック

CSCvv43190

GRE ヘッダー プロトコル フィールドが内部 IP ヘッダーのプロトコルフィールドと一致しない場合の暗号エンジンエラー

CSCvv48942

Snmpwalk がフェールオーバー インターフェイスのトラフィックカウンターを 0 として表示する

CSCvw62288

ASA:syslog レートが高い場合の 256 バイトのブロック枯渇

CSCvx14489

フェイルオーバー後に ipv6 インターフェイスで snmpwalk が失敗します

CSCvx36885

DATAPATH での ASA のリロードとトレースバック

CSCvx75683

「show cluster info trace」の出力が「タグが存在しません」というメッセージにより負担がかかっています

CSCvx79526

Cisco ASA および FTD ソフトウェアのリソースの枯渇で確認されたサービス拒否攻撃に対する脆弱性

CSCvx80830

Radius サーバーが dACL を送信し、vpn-simultaneous-logins が 1 に設定されていると、同じユーザーからの VPN 接続が失敗する

CSCvx95652

ASAv Azure:一定期間の実行後、一部またはすべてのインターフェイスがトラフィックの通過を停止する場合がある

CSCvx97053

異なるコンテキストで同じインターフェイスとネットワークに ipv6 アドレス/プレフィックスを設定できません

CSCvy04343

PLR モードの ASA で「ライセンスのスマート予約」が失敗する。

CSCvy04430

管理セッションが数週間後に接続に失敗

CSCvy21334

「スイッチオーバーなし」の場合、アクティブは CoA アップデートをスタンバイに送信しようとする

CSCvy32366

ASA を 9.15(1)10 にアップグレードした後、ASDM 7.15(1)150 ワンタイムパスワード(OTP)フィールドが表示されない

CSCvy33501

FDM フェールオーバーペア:新しく設定された sVTI IPSEC SA はスタンバイに同期されない。FDM は HA が同期していないことを示しています

CSCvy33676

以前の動的 xlate が作成されると、FTD で UN-NAT が作成される

CSCvy35737

Anyconnect パッケージの検証中に FTD のトレースバックとリロードが発生する

CSCvy40401

ipsec 構成で NULL 暗号化を使用すると、L2L VPN セッションの起動が失敗する

CSCvy47108

UAuth エントリがスタックしているため、リモートアクセス IKEv2 VPN セッションを確立できない

CSCvy52924

FTD がリブート時にすべての VRF インスタンスの OSPF ネットワークステートメント設定を失う

CSCvy53461

RSA キーと証明書が ASA コード 9.12.x を使用した WS-SVC-ASA-SM1-K7 でリロード後に削除される

CSCvy55439

頻繁な PDTS 読み取り/書き込みによる FTDv スループットの低下

CSCvy56395

キー設定が存在する場合の SNMP 暗号化コミュニティストリングによる ASA トレースバックとリロード

CSCvy57905

VTI トンネルインターフェイスが、HA の KP および WM プラットフォームでリロード後もダウンしたままになる

CSCvy58268

ブロック 80 および 256 の枯渇スナップショットが作成されない

CSCvy60831

ASA および FTD メモリブロックの位置がデータパスでの断片化されたパケットに対して更新されない

CSCvy64911

デバッグ:crasLocalAddress の SNMP MIB 値に IP アドレスが表示されない

CSCvy69453

WM スタンバイデバイスは、再起動後にコールドスタートトラップを送信しません

CSCvy74781

スタンバイデバイスが、フェールオーバー後に SSL トラフィックのキープアライブメッセージを送信する

CSCvy74984

デフォルトの外部ルートが使用されると、Azure 上の ASAv がメタデータサーバーへの接続を失う

CSCvy75724

ローエンドプラットフォームでの Msglyr プールメモリの減少による ZMQ OOM

CSCvy78525

TCP ping の VRF ルートルックアップがない

CSCvy79952

ダウングレード後の ASA/FTD トレースバックとリロード

CSCvy82668

SSH セッションが解放されません

CSCvy89144

Cisco ASA および FTD の Web サービスで確認されたサービス拒否攻撃に対する脆弱性

CSCvy90836

スレッド名 SNMP ContextThread での ASA トレースバックおよびリロード

CSCvy91668

スティッキネストラフィックによる PAT プールの枯渇は、新しい接続のドロップにつながる可能性があります。

CSCvy93480

Cisco ASA および FTD ソフトウェアの IKEv2 サイト間 VPN で確認されたサービス拒否攻撃に対する脆弱性

CSCvy96325

FTD/ASA:ACP に新しい ACE エントリを追加すると、LINA の ACE 要素が削除および再追加される

CSCvy96625

CSCvr33428 および CSCvy39659 によって導入された変更をロールバックする

CSCvy96803

SNMP 機能に関連するプロセス名 lina の FTD トレースバックとリロード

CSCvy96895

フェールオーバー後、ASA がアクティブ IP アドレスとスタンバイ MAC アドレスを使用して VTY セッションを切断します

CSCvy98458

FP21xx のトレースバック「Panic:DATAPATH-10-xxxx -remove_mem_from_head: Error - found a bad header」

CSCvy99217

IKEv2: SA エラーコードは、ユーザーにわかりやすいように理由を変換する必要があります

CSCvz00032

Cisco Firepower Threat Defense ソフトウェアの TCP Proxy DoS 攻撃に対する脆弱性

CSCvz00032

スレッド名 Lina での FTD のトレースバックおよびリロード

CSCvz00383

スレッド名 Checkheaps で FTD lina トレースバックとリロードが発生する

CSCvz00699

ASA のアップグレード後、webvpn でトレースバックとリロードが定期的に発生する

CSCvz00961

ASA の切り捨てられた/破損した設定に関連する AnyConnect 接続の障害

CSCvz02398

7.0 での SE リングタイムアウトで生成された暗号アーカイブ

CSCvz03524

sha1 ではなく sha256 リクエストが原因で PKI の「OCSP 失効チェック」が失敗する

CSCvz05189

クラスタでの xlate の複製中に Lina トレースバックによる FTD のリロードが発生する

CSCvz05468

最初の機能の有効化/展開としてプラットフォーム設定に複数の SSH ホストエントリがあると、LINA で SSH が切断される

CSCvz05541

ASA55XX:ソフトウェアアップグレード後に拡張モジュールインターフェイスが起動しない

CSCvz07614

ASA:孤立した SSH セッションでは、CLI からポリシーマップを削除できない

CSCvz08387

ASP ドロップキャプチャ出力に誤ったドロップ理由が表示される場合がある

CSCvz09109

ヘッダーのみが設定されているにもかかわらず、クラスタ CCL インターフェイスキャプチャには完全なパケットが表示されない

CSCvz15529

スレッド名 Datapath での ASA のトレースバックおよびリロード

CSCvz17923

ディスパッチャは、特定の条件下で保留中の非同期ロックを考慮しないため、CPU ユーティリティが低下

CSCvz20544

Anyconnect プロファイルのループ処理で、ASA および FTD がトレースバックおよびリロードする場合がある

CSCvz20679

FTDv - Lina のトレースバックおよびリロード

CSCvz21886

nat が IP ではなくポート番号に一致する pbr ACL に一致した場合、nat の un-nat が 2 回発生しない

CSCvz23157

show コマンドが発行されると SNMP エージェントが再起動する

CSCvz24765

snmpd コアで再起動したデバイス

CSCvz25454

ASA:129 行の asp-drop キャプチャにドロップ理由がありません

CSCvz29233

ASA:システムコンテキストでインターフェイスのフラップが発生したときに、カスタムコンテキストからの ARP エントリが削除されない

CSCvz30333

「show capture」コマンドが実行されると、FTD または Lina がトレースバックすることがある

CSCvz30933

clear configure snmp-server コマンドが発行されると ASA のトレースバックとリロードが発生する

CSCvz33468

ASA/FTD:手動 NAT ルールでオブジェクトグループを変更した後、NAT は送信元アドレスの変換を停止

CSCvz34831

ASA が DACL のダウンロードに失敗した場合、試行を停止しない

CSCvz37306

既存のユーザーで複数のコンテキストスイッチを実行した後、ASDM セッションが新しいユーザーに提供されない

CSCvz38332

FTD または ASA - 9.14.2.15 から 9.14.3 へのアップグレード後にブートループでスタックする

CSCvz38361

直接接続されていないネイバーのために BGP パケットがドロップされる

CSCvz38692

snmp_master_callback_thread での ASAv のトレースバックとリロード

CSCvz39646

ASA または AnyConnect - 古い RADIUS セッション

CSCvz40352

アクセスリストに明確なルールが存在するにもかかわらず、暗黙の ACL によって ASA トラフィックがドロップする

CSCvz43414

HA のフェイルオーバー後に内部 LDAP 属性マッピングが失敗する

CSCvz43455

hostscan のアップグレード中に ASAv がトレースバックを確認する

CSCvz44339

FTD:ngfw-interface および host-group を使用して SNMP ホストを削除しようとすると、展開が失敗する

CSCvz44645

FTDは、スレッド名 'lina' でトレースバックおよびリロードする場合がある

CSCvz48407

スレッド名 DATAPATH-15-18621 でのトレースバックおよびリロード

CSCvz50712

TLS サーバー検出は、AnyConnect 展開のプローブに誤った送信元 IP アドレスを使用

CSCvz50922

FPR2100:ESP-Null 暗号化を使用すると、L2L VPN トンネルを形成できない

CSCvz51258

show tech-support の出力は、crashinfo がある場合に混乱を招く可能性があり、クリーンアップするまたは直感的にする必要があります

CSCvz53142

ASA が、name-server コマンドで指定されたインターフェイスを使用して IPv6 DNS サーバーに到達しない

CSCvz54471

ASA:「HA 状態の進行に失敗した」後、HA ペアで失敗した ASA が自動的に回復されない

CSCvz55302

メモリ不足の状態での SSL null チェックによる FTD/ASA のトレースバックとリロード

CSCvz55395

トラフィックが存在する場合でも、設定されたアイドルタイムアウト後に TCP 接続がクリアされる

CSCvz55849

LINA プロセスでの FTD のトレースバックとリロード

CSCvz57710

conf t が、context-config モードで disk0:/t に変換される

CSCvz58376

ポリシーの展開後に Snort ダウンする

CSCvz58710

SCTP トラフィックにより ASA がトレースバックする。

CSCvz60578

MASTER_POST_CONFIG 状態のクラスタユニットは、一定期間後に無効状態に移行する必要がある

CSCvz61160

ICMP エラーメッセージを処理する際、DATAPATH で ASA がトレースバックする

CSCvz61431

クラスタ構成の同期中に表示される「Netsnmp_update_ma_config: ERROR Failed to build req」メッセージ

CSCvz61658

update_mem_reference の CPU ホグ

CSCvz64470

ICMP 到達不能メッセージ生成時のメモリ破損による ASA および FTD のトレースバックとリロード

CSCvz66795

コマンド「show access-list」実行時の SSH プロセスでの ASA のトレースバックとリロード

CSCvz67003

ASDM セッション数とクォータ管理の数が一致しないASDM の「ロスト接続ファイアウォール」メッセージ

CSCvz67816

FTD で変更される IPV6 DNS PTR クエリ

CSCvz68336

複数のインラインペアでの単一接続が原因で SSL 復号化が機能しない

CSCvz69571

anyconnect セッションが終了した後、ASA ログに転送されたデータの間違った値が表示される

CSCvz70316

LINA はトレースバックとリロードを生成する可能性がある

CSCvz70595

SAML ハンドラの処理中に ASA でトレースバックが観察される

CSCvz70958

dhcpp_add_ipl_stby によるスタンバイの高いコントロールプレーン CPU

CSCvz71064

ikev2 トンネルで約 2 分かかる ASA からのコンテキストを削除します

CSCvz72771

ASA/FTD が、スタックトレースの「c_assert_cond_terminate」でトレースバックおよびリロードする場合がある

CSCvz73146

FTD:スレッド名 DATAPATH でのトレースバック

CSCvz73709

ASA および FTD のスタンバイユニットが HA に参加できない

CSCvz75988

RFC5424 が有効な場合、一貫性のないロギングタイムスタンプが起こる

CSCvz76746

管理トンネルを実装している間、ユーザーはオープン接続を使用して AnyConnect をバイパスできる

CSCvz76848

RA トンネルで DTLS1.2 を使用する場合の FTD トレースバックとリロード

CSCvz76966

Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの DNS DoS の脆弱性

CSCvz77744

OSPFv3:FTD の間違った「転送アドレス」が ospfv3 データベースに追加される

CSCvz78816

ASA では、FO 後にアクティブ IP アドレスとスタンバイ MAC アドレスを使用して ssh、https セッションが切断される

CSCvz81888

asa-9.14.3 から asa-9.15.1/9.16.1.28 にアップグレードした後、NTP が *(同期)ステータスに変更されない

CSCvz82562

ASA/FTD:サイト間 VPN:トラフィックが正しく断片化されていない

CSCvz84850

「タイマーサービス」機能により、ASA および FTD のトレースバックとリロードが発生する

CSCvz85437

FXOS および FTD を 2.10.1.159 および 6.6.4 にアップグレードした後に FTD 25G、40G、および 100G のインターフェイスがダウンする

CSCvz86256

プライマリ ASA は、スプリットブレインが検出され、ピアがコールドスタンバイになるとすぐに GARP を送信する必要がある

CSCvz88149

ブロック解放中に Lina のトレースバックとリロードにより、FTD ブートループが発生する

CSCvz89126

マルチ コンテキスト スイッチオーバーが ASDM から実行される場合の ASA での ASDM セッション/クォータカウントが不一致である

CSCvz89327

OSPFv2 フローにクラスター集中型「c」フラグがない

CSCvz89545

アップグレード後の SSL VPN のパフォーマンスの低下と重大な安定性に関する問題

CSCvz90375

起動時の ASA 9.14 の使用可能な DMA メモリが不足し、サポートされる AnyConnect セッションが減少

CSCvz90722

暗号 ACL のオブジェクトグループでは、hitcnt の合計が個々の要素と一致しない

CSCvz91218

高速トラフィックでのインターフェイスリングのドロップにより、スタンバイユニットで Statelink hello メッセージがドロップした

CSCvz92016

AD の有効なユーザーによる ASA 特権昇格

CSCvz92932

ASA show tech の実行により、CPU でスパイクが発生し、IKEv2 セッションに影響を与える

CSCvz94153

IPV4 アドレスが設定されていない場合、IPV6 での NTP 同期が失敗する

CSCvz95108

デバイスでのメジャーバージョンの変更によるアップグレード後の FTD 展開の失敗

CSCvz95743

アップグレード後の NTP 同期の喪失

CSCvz95949

FP1120 9.14.3:アクティブなデバイスの再起動後に一時的なスプリットブレインが発生

CSCvz96462

VPN セッションはないが、IP アドレスが「使用中」

CSCvz99222

インラインセットの show コマンドと clear コマンドが機能しない

CSCwa02929

FTD が SSL フローエラーの CORRUPT_MESSAGE でトラフィックをブロックする

CSCwa03275

BGP ルートが未解決と表示され、「ホストへのルートがありません」という ASP のドロップが原因となりパケットをドロップする

CSCwa03347

IPv6 PIM パケットが、無効な IP の長さによるドロップが原因となり ASP でドロップする

CSCwa04461

Cisco ASA ソフトウェアおよび FTD ソフトウェアリモートアクセスの SSL VPN サービス拒否

CSCwa08262

マッピングされたグループポリシーを持つ AnyConnect ユーザーは、トンネルグループの下にあるデフォルト GP から属性を取得します

CSCwa11052

バージョン 9.14(2)15 へのアップグレード後に SNMP が応答しなくなる

CSCwa13873

「failover active」コマンドの実行後に、状態遷移における遅延が原因により ASA フェールオーバー スプリット ブレインが発生

CSCwa14485

Cisco Firepower Threat Defense ソフトウェアで確認されたサービス拒否攻撃に対する脆弱性

CSCwa14725

IKE デーモンスレッドでの ASA および FTD のトレースバックとリロード

CSCwa15185

ASA/FTD:LUA から不要なプロセス呼び出しを削除

CSCwa18858

ASA が、「ラベル長 164 バイトがプロトコルの制限である 63 バイトを超えている」という理由で非 DNS トラフィックをドロップする

CSCwa18889

マルチインスタンスで Lina と FXOS 間でクロックドリフトが観察された

CSCwa19443

フローオフロード - 比較状態の値が長期間エラー状態のままになる

CSCwa19713

asp ドロップタイプ「no-adjacency」の原因により BVI インターフェイスで設定された ASA によってトラフィックがドロップした

CSCwa28822

FTD が UI 管理を FDM から FMC に移動すると、トラフィックが失敗する

CSCwa28895

FTD SSL プロキシは、設定可能または動的な最大 TCP ウィンドウサイズを許可する必要がある

CSCwa30114

オブジェクトサービスでポートの範囲を使用する場合「NAT がポートを予約できません」というエラーが発生

CSCwa33898

Cisco 適応型セキュリティ アプライアンスのソフトウェアクライアントレス SSL VPN ヒープオーバーフローの脆弱性

CSCwa34287

ASA:アップグレード後のリロード後に NTP 同期が失われる

CSCwa35200

AnyConnect SSL の一部の syslog が、ユーザーコンテキストではなく管理コンテキストで生成される

CSCwa36672

ASDM を使用してキャプチャを実行するとき ASA on FPR4100 のトレースバックとリロード

CSCwa36678

FMC からの展開中にトレースバックを使用してランダム FTD がリロードされる

CSCwa38277

プールとして範囲が広い ASA NAT66 が IPv6 で機能しない

CSCwa40719

トレースバック: セカンダリファイアウォールをスレッド名でリロード: fover_parse

CSCwa41834

pix_startup_thread による ASA/FTD トレースバックおよびリロード

CSCwa42594

ASA:GTP ヘッダーに SEQ および EXT フィールドがある場合、IP ヘッダーチェックの検証に失敗する

CSCwa53489

ハッシュテーブルへのアクセス中に無効なメモリアクセスにより Lina トレースバックとリロードが発生

CSCwa55562

同じ送信元 IP に割り当てられた異なる CG-NAT ポートのブロックにより、ホストごとの PAT ポートブロックが枯渇する

CSCwa55878

FTD サービスモジュールの障害:「ND がダウンした可能性があります」という誤ったアラーム

CSCwa56449

HTTP cli EXEC コードでの ASA トレースバック

CSCwa56975

コントロールプレーンで DHCP オファーが表示されない

CSCwa57115

オブジェクトで存在しない ACL を削除した後、新しいアクセスリストが有効にならない

CSCwa58686

OGS コンパイル動作における ASA および FTD の変更によりブートループが発生する

CSCwa60574

snp_ha_trans_alloc_msg_muxbuf_space 関数での ASA のトレースバックとリロード

CSCwa61218

OID「1.3.6.1.4.1.9.9.171.1.3.2.1.2」をポーリングすると、関連するトンネルの負のインデックス値が得られる

CSCwa65389

ASDM を介してインターフェイス設定を変更する場合は、Unicorn Admin Handler で ASA トレースバックおよびリロードが発生

CSCwa67884

条件付きフローオフロードデバッグで出力が生成されない

CSCwa68660

ASA を 9.12.4.x にアップグレードした後、FTP インスペクションが正しく機能しなくなる

CSCwa74900

debug webvpn cifs 255 を有効にした後トレースバックとリロードが発生

CSCwa77073

SNMP が予期しないオーダーにより snmpgetbulk に応答している

CSCwa79494

スポークフラップからの IPSec トンネルの場合、トラフィックはハブで失敗し続ける

CSCwa79980

FPR の SNMP get コマンドは、インターフェイスインデックスを表示しない

CSCwa85043

トレースバック: Logger というスレッド名で Lina がトレースバックおよびリロードする

CSCwa85138

トランザクションコミット診断に関する複数の問題が発生

CSCwa87315

ASA/FTD は、スレッド名「IP アドレス割り当て」でトレースバックおよびリロードする場合がある

CSCwa87597

ASA/FTD フェールオーバー:アクティブメイトから設定レプリケーションを受信すると、スタンバイリブートする

CSCwa89243

9.15.1.17 にアップグレードした後、SNMP はポーリングに応答しなくなった

CSCwa91090

AnyConnect TLSv1.2 セッション確立中に SSL ハンドシェイクログから不明なセッションが表示される

CSCwa94894

ASA/FTD は、スレッド名「DATAPATH-4-9608」でトレースバックおよびリロードする場合がある

CSCwa96327

ポートチャネルメンバーであるインターフェイスの ifHighSpeed 値が正しくない

CSCwa96759

Lina は tcpmod_proxy_handle_mixed_mode でトレースバックしてリロードする場合がある

CSCwa97784

ASA:ジャンボサイズのパケットが L2TP トンネル上でフラグメント化されない

CSCwa98684

ポリシーの展開中にコンソールに過度の警告が発生

CSCwb00595

Mempool_DMA 割り当ての問題/メモリリークが発生

CSCwb01700

ASA:SSH と ASDM セッションが CLOSE_WAIT でスタックし、ASA の MGMT が不足する

CSCwb01919

FP2140 ASA 9.16.2 HA ユニットが lua_getinfo(getfuncname)でトレースバックおよびリロードする

CSCwb09219

ASA/FTD:「署名者証明書が見つかりません」が原因で、アップグレード後に OCSP が機能しない場合がある

CSCwb11939

ASA/FTD MAC の変更が、INSPECT がオンになっているフラグメント化されたパケットの処理で見られる

CSCwb15795

監査メッセージが生成されない:ASAv9.12 からのロギングが有効化されない

CSCwb18252

FTD/ASA:BFD 機能のトレースバックにより予期しないリブートを引き起こす

CSCwb34035

SNMP の設定中に ASA CLI がランダムにハングする

バージョン 9.16(2) で解決済みのバグ

次の表に、このリリースノートの発行時点で解決済みのバグを示します。

問題 ID 番号

説明

CSCum03297

ENH:ASA は MAXHOG のタイムスタンプを「show proc cpu-hog」に保存する必要がある

CSCvg66052

Firepower アプライアンスで 2 つの CPU コアが継続的にスパイクする

CSCvr11958

AWS FTD:「ERROR: failed to set interface to promiscuous mode」により展開が失敗する

CSCvv71097

トレースバック:ASA が snp_fdb_destroy_fh_callback + 104 をリロードする

CSCvw46630

FTD:NLP パスでリターン ICMP 接続先到達不能メッセージがドロップされている

CSCvw62526

エンジニアリング ASA Build での ASAトレースバックとリロード:9.12.3.237

CSCvw71405

暗号化プロセスで FPR1120 が ASA トレースバックとリロードを実行している

CSCvx11917

FTD アクティブユニットが host-move-pkt drop reason でインターフェイス フェールオーバー メッセージをドロップすることがある

CSCvx20872

netflow リフレッシュタイマーによる ASA/FTD トレースバックとリロード

CSCvx23833

IKEv2キー の再生成:Create_Child_SA 応答の直後に受信した新しい SPI を使用した ESP パケットの SPI が無効になる

CSCvx26308

chastrcpy_s: source の文字列が着信側に対して長すぎるため ASA がトレースバックおよびリロードする

CSCvx38124

CP がピン接続されているコアでのコアローカルブロック割り当ての失敗によりドロップが発生する

CSCvx48490

「Initiator/Responder」パケットを 0 として示す SSL 復号化された https フローの EOF イベント

CSCvx50980

ASA CP の誤った計算により、パーセンテージが高くなる(CP CPU 100%)

CSCvx65178

ファイアウォール MIB 内の特定の OID に対して SNMP 一括取得が機能せず、デバイスのパフォーマンスが低下する

CSCvx77768

Umbrella によるトレースバックとリロード

CSCvx79793

SSL ポリシーを使用したファイル転送またはファイルアップロードが低速で、復号化の再署名アクションが適用される

CSCvx85922

ASA/FTDは、設定をメモリに保存/書き込みするときにトレースバックおよびリロードすることがある

CSCvx87709

HAで FPR 2100 が ASA を実行するフェールオーバー中のウォッチドッグでのトレースバックとリロード

CSCvx90486

ifXTable の snmwapwalk がデータインターフェイスを返さないことがある

CSCvx94398

セカンダリ ASA がスタートアップ コンフィギュレーションを取得できない

CSCvx97632

クラスタコマンドを使用して長い宛先ファイル名を持つファイルをコピーする場合にASA がトレースバックおよびリロードする

CSCvy01752

スレッド Lic HA クラスタでのトレースバック

CSCvy03006

uauth のデバッグ機能の改善

CSCvy07491

access-list の再設定時の ASAトレースバック

CSCvy09217

暗号の不一致が原因で HA がアクティブ/アクティブ状態になる

CSCvy09436

DHCP 予約で一部のデバイスに予約済みアドレスを適用できない

CSCvy10583

スレッド名 DATAPATH での ASA トレースバックおよびリロード

CSCvy16179

CSCuz67596 の修正を実行中でも、スレッド名 Unicorn Admin Handler で ASA クラスタがトレースバックする

CSCvy17078

トレースバック:LINA プロセスで FPR 2110 の ASA がトレースバックおよびリロードする

CSCvy17365

REST API ログインページの問題

CSCvy17470

IKEv2 の A/Sフェールオーバーペアでの ASA トレースバックとリロード。

CSCvy18138

登録フラグ付きのカプセル化されたパケットが RP に送信されたときに、PIM Register Sent カウンタが増加しない

CSCvy19136

証明書認証が使用される場合に Web ポータルで永続的なリダイレクトが発生する

CSCvy23349

FTD がインラインペア展開で TCP フローを不必要に ACK する

CSCvy31229

/ngfwに空き領域がない

CSCvy33105

DNS ルックアップが有効な場合、「show route bgp」または「show route isis」であいまいなコマンドエラーが表示される

CSCvy36694

Azure の FTDv 6.7 が GigabitEthernet インターフェイスで 1000 の速度を設定できない

CSCvy39621

ASA/FTDは、最大再試行回数に達した後も連続的な RADIUS アクセス要求を送信する

CSCvy39659

ASA/FTD がスレッド名「DATAPATH-15-14815」でトレースバックし、リロードすることがある

CSCvy43447

マルチインスタンス FTD の Lic TMR スレッドでの FTDトレースバックとリロード

CSCvy47108

UAuth エントリがスタックしているため、リモートアクセス IKEv2 VPN セッションを確立できない

CSCvy48159

メモリヘッダー検証によるプロセス名 lina での ASA トレースバックとリロード

CSCvy48730

ASA/FTD がスレッド名「Unicorn Proxy Thread」でトレースバックおよびリロードすることがある

CSCvy49732

ASA/FTD がスレッド名「ssh」でトレースバックし、リロードすることがある

CSCvy50011

IKE デーモンプロセスでの ASA トレースバックおよびリロード

CSCvy51659

OCSP タイムアウトが長い場合、AnyConnect 認証が失敗することがある

CSCvy52074

ASA/FTD がスレッド名「webvpn_task」でトレースバックおよびリロードすることがある

CSCvy52924

FTD がリブート時にすべての VRF インスタンスの OSPF ネットワークステートメント設定を失う

CSCvy55356

ドキュメントに反して、10 ミリ秒未満の CPU 占有が発生する

CSCvy56395

キー設定が存在する場合の SNMP 暗号化コミュニティストリングによる ASA トレースバックとリロード

CSCvy58268

ブロック 80 および 256 の枯渇スナップショットが作成されない

CSCvy60100

HA の再起動後に SNMP v3 設定が失われる

CSCvy61008

Lina と FXOS 間の同期外れの時間

CSCvy63949

直接認証トラフィックが ASA を通過している場合でも ASA 直接認証がタイムアウトする

CSCvy64492

ASAv が MAC テーブルの自身のアドレスに非アイデンティティ L2 エントリを追加し、HA hello をドロップする

CSCvy66711

Cisco ASA 9.16.1 と FTD 7.0.0 の IPsec に関するサービス妨害(DoS)の脆弱性

CSCvy69189

vpnfol_sync/Bulk-sync keytab がスタックしているため、FTD HA がバルク状態のままになる

CSCvy69787

AWS TenGigabit インターフェイス上の ASAv が 10000Mbps ではなく 1000mbps を学習している

CSCvy72846

ASA アカウンティングが誤った Acct-Session-Time を報告する

CSCvy73554

ASA:暗号 ACL の「deny ip any any」エントリにより、IKEv2 リモート AnyConnect アクセス接続が阻止される

CSCvy74781

スタンバイデバイスが、フェールオーバー後に SSL トラフィックのキープアライブメッセージを送信する

CSCvy79952

ダウングレード後の ASA/FTD トレースバックとリロード

CSCvy82794

snmp コマンドを無効にする場合の ASA/FTD トレースバックとリロード

CSCvy92990

7.0 へのアップグレード後の SSL に関連する FTD トレースバックとリロード

CSCvy96803

SNMP 機能に関連するプロセス名 lina の FTD トレースバックとリロード

CSCvz00699

ASA のアップグレード後、webvpn でトレースバックとリロードが定期的に発生する

CSCvz30933

clear configure snmp-server コマンドが発行されると ASA のトレースバックとリロードが発生する

バージョン 9.16(1) で解決済みのバグ

次の表に、このリリースノートの発行時点で解決済みのバグを示します。

問題 ID 番号

説明

CSCvc07112

スケジューラ破損の問題に対する検出と自動修正の機能を実装する

CSCve02555

「show asp drop」情報を取得するための SNMP OID を含める機能

CSCvg69380

ASA:まれに発生した CP 処理での破損によってコンソールロックが発生する

CSCvm82290

IRB/TFW 設定でホストが到達不能な場合に ASA コアブロックが枯渇する

CSCvo34210

スレッド名 Unicorn Proxy Thread で ASA が 9.6.4.20 トレースバックを実行する

CSCvp69936

ASA:tcp_intercept スレッド名 thread detection でのトレースバック

CSCvr13713

ENH:ASA を実行している 4100/9300 と同様に、2100 でコンソールメッセージをログに記録する必要がある

CSCvr85295

Cisco Adaptive Security Appliance と Firepower Threat Defense ソフトウェアリモート

CSCvs13204

SR-IOV インターフェイス上の ASAv フェールオーバー トラフィックが、インターフェイスのダウンによりドロップされることがある

CSCvs72450

FXOS:サービスモジュールの hwclock を同時書き込みコリジョンによる破損から修復

CSCvs82926

ASA「Chassis 0 Cooling Fan OK」SCH メッセージを使用した FRP 1000 および FPR2100 シリーズの重大な RPMアラート

CSCvs84542

スレッド idfw_proc での ASA のトレースバック

CSCvt71529

SSL ハンドシェイク中の ASA のトレースバックとリロード

CSCvt75760

HTTP クリーンアップによるクライアントレス WebVPN のトレースバックまたはページ障害

CSCvu34228

FTD LINA トレースバック & リロード処理中の Snort リターン判定

CSCvu94846

インラインタップモードを有効にすると、パフォーマンスが 20 〜 50% 低下することがある。

CSCvu98222

SSL 復号ポリシーを有効にした後、FTD Lina エンジンがデータパスでトレースバックすることがある

CSCvv15572

新しいコンテキストの作成中に「config-url」を入力すると、ASA のトレースバックが発生する

CSCvv17585

特定の状況下で Netflow テンプレートが送信されない

CSCvv19230

ASAv AnyConnect ユーザがアイドルタイムアウトで予期せず切断される

CSCvv34851

6.7.0-1992:重複した接続イベントの 1 つに空の SSL 情報がある

CSCvv40406

FTD/ASA は、ファイル名に「!」の文字を含むコアダンプファイルを作成する(lina 変更)。

CSCvv56644

Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの Web DoS の脆弱性

CSCvv60998

FPR2100 1 Gig ファイバ SFP インターフェイスが ASA アプライアンスモードでダウンする

CSCvv65184

Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの Web DoS の脆弱性

CSCvv66005

inspect esmtp での ASA のトレースバックとリロード

CSCvv67500

DATAPATH での ASA 9.12 のランダムトレースバックおよびリロード

CSCvv70984

ブックマーク SSL 暗号設定の変更中の ASA トレースバック

CSCvv72466

ASA のアップグレード後、startup-config で OSPF ネットワークコマンドが欠落する

CSCvv73017

fover および SSH スレッドによるトレースバック

CSCvv80782

トレースバックにより purg_process となる

CSCvv85029

スレッド名 ace_work で ASA5555 がトレースバックし、リロードする

CSCvv86861

夜間に VPN、EMIX、および SNMP トラフィックを実行中に、タイマーで KP をトレースバックする

CSCvv86926

コアファイルを作成する FTD での予期しないトレースバックとリロード

CSCvv87232

ASA:igb_saleen_io_sfp_mod_poll_thread プロセスで CPU 専有の値が高くなる

CSCvv88017

ASA:EasyVPN HW クライアントが重複したフェーズ 2 のキー再生成をトリガーし、トンネル経由で切断される

CSCvv89708

ASA/FTD がスレッド名 fover_FSM_thread でトレースバックし、リロードすることがある

CSCvv90720

ASA/FTD:HA スイッチオーバー後に接続されたスイッチで MAC アドレステーブルのフラッピングが表示される

CSCvv94165

FTD 6.6:snmpd プロセスの CPU がスパイクする

CSCvv94701

ASA が「octnic_hm_thread」でリロードし続け、リロード後は回復するまでに非常に長い時間がかかる

CSCvv97877

セカンダリユニットがクラスタに参加できない

CSCvw00161

Firepower 2140 での VPNス レッドによる ASA のトレースバックとリロード

CSCvw07000

PDTS Tx キューがスタックしたまま Snort がビジー状態でドロップする

CSCvw12008

「show tech-support」コマンドの実行中の ASA トレースバックとリロード

CSCvw12100

サイト間セッションおよび AnyConnect セッションで ASA の古い VPN コンテキストが表示される

CSCvw16619

オフロードされたトラフィックが ECMP セットアップでセカンダリルートにフェールオーバーされない

CSCvw18614

LINA プロセスでの ASA トレースバック

CSCvw21844

カプセル化されたフローを処理する際の DATAPATH スレッドでの FTD トレースバックとリロード

CSCvw22881

radius_rcv_auth により、コントロールプレーンの CPU 使用率が 100% になることがある

CSCvw22986

プライマリユニットのインターフェイスが init 状態のままであるため、セカンダリユニットがバルク同期状態で無限にスタックする

CSCvw23199

スレッド名 Logger での ASA/FTD のトレースバックとリロード

CSCvw24084

snmp/snmp_config_utils.c で Rip Netsnmp_config_req_dequeue_and_send+269 を使用すると、SNMP で FTD がクラッシュすることがある

CSCvw24556

フローオフロードが有効になっている場合、TCP ファイル転送(ビッグファイル)が正しく閉じない

CSCvw26171

strncpy NULL 文字列が SSL ライブラリから渡されている間の ASA syslog トレースバック

CSCvw26331

スレッド名 ci/console での ASA のトレースバックとリロード

CSCvw26544

Cisco ASA および FTD ソフトウェアの SIP で確認されたサービス拒否攻撃に対する脆弱性

CSCvw27301

EAP を使用した IKEv2 で、MOBIKE ステータスが処理されない

CSCvw28814

QP を v9.14.1.109 にアップグレード中に SNMP プロセスがクラッシュした

CSCvw30252

ASA/FTD が SNMP のメモリ破損によりトレースバックおよびリロードすることがある

CSCvw31569

ディレクタ/バックアップフローは残され、このフローに関連するトラフィックがブラックホール化される

CSCvw32518

9.12(4)4 以降にアップグレード後の ASASM トレースバックおよびリロード

CSCvw36662

TACACS+ ASCII パスワード変更要求が正しく処理されない

CSCvw37259

デバイスがハング状態になるまで 600/秒のレートで VPN syslog が生成される

CSCvw38614

リブート時に AZURE ASA/FTD NIC MAC アドレスが並べ替えられることがある

CSCvw42999

FPR2110 上の 9.10.1.11 ASA がランダムにトレースバックおよびリロードする

CSCvw43486

PBR 設定変更時の ASA/FTD トレースバックとリロード

CSCvw44122

ASA:非 DNS トラフィックを DNS 検査エンジンにリダイレクトする「class-default」クラスマップ

CSCvw45863

リロード時の ASAv SNMP トレースバック

CSCvw46885

SNMP および管理アクセス設定に関連する ASA/FTD トレースバックおよびリロード

CSCvw47321

一部の FPR プラットフォームのインバウンドトラフィックの IPSec トランスポート モード トラフィックの破損

CSCvw48517

ASA を 9.13(1)13 にアップグレードすると、DAP が動作しなくなる

CSCvw51307

プロセス名「Lina」で ASA/FTD がトレースバックおよびリロードする

CSCvw51462

IPv4 デフォルトトンネルルートが拒否される

CSCvw51950

FPR 4K:手動フェールオーバー後に新しいアクティブ ASA から SSL トラストポイントが削除される

CSCvw51985

ASA:IPv6 DACL 障害により、AnyConnect セッションを再開できない

CSCvw52609

Cisco ASA と FTD ソフトウェアの Web サービスバッファオーバーフローによるサービス拒否の脆弱性

CSCvw53427

ASA が複数のクエリパラメータを含む SAML アサーションで HTTP POST を処理できない

CSCvw53596

FPR4120:cli_xmlserver_thread の Lina ウォッチドッグ トレースバック

CSCvw53796

Cisco ASA および FTD Web サービスインターフェイスで確認されたクロスサイト スクリプティングの脆弱性

CSCvw53884

ASA5506 上の M500IT モデルのソリッドステートドライブが 3 年 2 ヵ月のサービス期間後に応答しなくなることがある

CSCvw54640

FPR-4150:スレッド名 DATAPATH での ASA トレースバックおよびリロード

CSCvw58414

タイプ dynamic-split-exclude-domains の AnyConnect カスタム属性の名前がリロード後に変更される

CSCvw59035

FTD BVI アドレスから直接接続された IP への接続の問題

CSCvw63862

ASA:ランダムな L2TP ユーザが古い ACL フィルタエントリが原因でリソースにアクセスできない

CSCvw71766

IKev 2 Daemon スレッドでの ASA トレースバックおよびリロード

CSCvw74940

IKE デーモンでの ASA トレースバックおよびリロード

CSCvw81897

ASA:OpenSSL の脆弱性 CVE-2020-1971

CSCvw82629

ACL に関する「設定セッション」の変更時に ASA トレースバックが発生する。

CSCvw83572

バージョン 9.14.1.30 以降で BVI HTTP/SSH アクセスが機能しない

CSCvw83780

ACL の変更時に FTD ファイアウォールがトレースバックおよびリロードすることがある

CSCvw84339

ホスト名が 30 文字を超えると、FTD の管理対象デバイスのバックアップが失敗する

CSCvw84786

スレッド名 snmp_alarm_thread での ASA トレースバックおよびリロード

CSCvw87788

ASA トレースバックとリロードの WebVPN スレッド

CSCvw89365

証明書の変更中に ASA/FTD がトレースバックおよびリロードすることがある。

CSCvw93139

Cisco ASA および FP 1000/2100 シリーズ コマンド インジェクションの FTD ソフトウェアの脆弱性

CSCvw95301

キャプチャが削除されたときに ASA がトレースバックを実行し、スレッド名:ssh でリロードされる

CSCvw95368

ASA: Remote Access VPN が有効な場合、emweb/https でトレースバックを実行し、リロードされる

CSCvw96488

inspect_h323_ras+1810 のトレースバック

CSCvw97821

ASA:CoA で dACL が提供されない場合、VPN トラフィックが渡されない

CSCvw98840

ASA:CoA 後の v6 トラフィックに IPv6 エントリのない dACL が適用されない

CSCvw99916

ASAv:9.14 へのアップグレード後に使用されたメモリ値の SNMP 結果が正しくない

CSCvx01805

Firepower 2100 で設定の同期中にハートビートエラーが発生し、AppAgent が登録解除される

CSCvx02869

スレッド名のトレースバック:Lic TMR

CSCvx03764

アイデンティティ NAT トラフィックおよびクラスタリング環境では、オフロード書き換えデータを修正する必要がある

CSCvx04057

SGT 名が未解決のまま ACE で使用されている場合、回線が無視または非アクティブ状態にならない

CSCvx04643

ASA のリロードで「content-security-policy」設定が削除される

CSCvx05381

Cisco ASA および FTD ソフトウェアのコマンドインジェクションの脆弱性

CSCvx05385

ASA が HA の設定同期中にロガースレッドでトレースバックを生成することがある

CSCvx06385

6.6.1 へのアップグレード後に FPR 2100 の Fail-to-wire ポートがフラッピングする

CSCvx08734

ASA:デフォルトの IPv6/IPv4 ルートトンネリングが機能しない

CSCvx09123

ISA3000 上の M500IT モデルのソリッドステートドライブが 3 年 2 ヵ月のサービス期間後に応答しなくなることがある

CSCvx09535

ASA トレースバック:失効した証明書でリロードがトリガーされる AnyConnect クライアントの CRL チェック

CSCvx11295

スレッド Crypto CA で ASA がトレースバックおよびリロードする

CSCvx11460

リモートエンドで TFC が有効になっている状態で Firepower 2110 がトラフィックをサイレントにドロップする

CSCvx13694

スレッド名 PTHREAD-4432 で ASA/FTD トレースバックする

CSCvx15040

ASA/FTD で DHCP プロキシオファーがドロップされる

CSCvx16317

管理のコンテキストが変更されると、マルチコンテキスト ASA から connect fxos admin で FXOS にアクセスできない

CSCvx17664

ASA がスレッド名「webvpn_task」でトレースバックおよびリロードすることがある

CSCvx17780

FPR-2100-ASA:最新バージョンの ASA インターフェイスで ifType の SNMP ウォークに「other」が表示される

CSCvx17842

FMC から送信されたオブジェクトループによる lina のトレースバックを防ぎます。代わりに展開を失敗させます。

CSCvx20303

ASA/FTD が SNMP ホストグループオブジェクトの変更後にトレースバックすることがある

CSCvx22695

OCSP 応答データのクリーンアップ中のに ASA がトレースバックおよびリロードする

CSCvx25719

X-Frame-Options ヘッダーが webvpn 応答ページで設定されていない

CSCvx25836

「show crashinfo」による新しい出力ログの追加で ASA がトレースバックおよびリロードする

CSCvx26221

handle_agentx_packet / snmp で SNMP にトレースバックすると、FP1k および 5508 での起動に時間がかかる

CSCvx26808

FPR2100 シリーズのプロセス lina での FTD のトレースバックおよびリロード

CSCvx27430

ASA:FIPS が有効な場合、PAC ファイルをインポートできない

CSCvx29771

フローオフロードによる一括ルーティング更新後にファイアウォール CPU が増加することがある

CSCvx29814

DHCP GIADDR フィールドの IP アドレスが DHCP DECLINE を DHCP サーバに送信した後に反転する

CSCvx29832

フローオフロードを有効にした状態で大量のルートを更新すると、CPU のパフォーマンスが低下する

CSCvx30314

SSL midpath での ASA 9.15.1.7 トレースバックおよびリロード

CSCvx34237

FIPS 障害による ASA のリロード

CSCvx41171

ACL 設定を同時に変更すると、「show running-config」の出力が完全に中断される

CSCvx42081

FPR4150 ASA Standby Ready ユニットのループが失敗し、設定を削除してインストールし直す必要がある

CSCvx42197

ASA EIGRP ルートがネイバーの切断後にスタックする

CSCvx43335

FTD クラスタ物理インターフェイスは、fxos インターフェイスステートがアップであっても、インラインモードではアップしない。

CSCvx44401

スレッド名 Unicorn Proxy Thread で FTD/ASA がトレースバックする

CSCvx47230

IE および Windows プラットフォームの古いバージョンの X-Frame-Options ヘッダーのサポート

CSCvx50366

スレッド名 fover_health_monitoring_thread でのトレースバック

CSCvx52122

トランスペアレント コンテキストの削除中の SNMP 通知スレッドでの ASA トレースバックとリロード

CSCvx54235

ASP キャプチャの dispatch-queue-limit にパケットがないと表示される

CSCvx54396

マルチキャストが有効な場合、FTD での展開が失敗する

CSCvx54606

FTD 6.6.1/6.7.0 が SNMP Ifspeed OID (1.3.6.1.2.1.2.2.1.5)応答値 = 0 を送信している

CSCvx57417

スマートトンネルコード署名証明書の更新

CSCvx59120

データトンネルが起動する前に COA を受信すると、親セッションが切断される

CSCvx63647

スレッド名 CTM Daemon での ASA トレースバックおよびリロード

CSCvx68128

ASA 内部デッドロックにより、機能(syslog、リロード、ASDM、anyconnect)が失われる

CSCvx69405

スレッド名 SNMP ContextThread での ASA トレースバックおよびリロード

CSCvx71434

asa_run_ttyS0 スクリプトによるスレッド名 pix_startup_thread での ASA/FTD トレースバックおよびリロード

CSCvx72904

ifmibポーリングの最適化

CSCvx76233

システムイメージをフラッシュにコピーするときのスレッド ci/console での ASA トレースバックおよびリロード

CSCvx79793

SSL ポリシーを使用したファイル転送またはファイルアップロードが低速で、復号化の再署名アクションが適用される

エンドユーザライセンス契約書

エンドユーザライセンス契約書の詳細については、http://www.cisco.com/go/warranty [英語]にアクセスしてください。