Cisco ASA シリーズ 9.16(x) リリースノート
このドキュメントには、Cisco ASA ソフトウェアバージョン 9.16(x) のリリース情報が記載されています。
特記事項
-
MD5 ハッシュと DES 暗号化を使用する SNMPv3 ユーザーはサポートされなくなり、9.16(1) にアップグレードするとユーザーが削除されます。アップグレードする前に、snmp-server user コマンドを使用してユーザー設定をより高いセキュリティアルゴリズムに変更してください。
-
9.16(1) では SSH ホストキーアクションが必要:RSA に加えて、EDDSA および ECDSA ホストキーのサポートが追加されました。ASA は、存在する場合、EDDSA、ECDSA、RSA の順にキーの使用を試みます。9.16(1) にアップグレードすると、ASA は既存の RSA キーを使用するようにフォールバックします。ただし、できるだけ早くcrypto key generate {eddsa | ecdsa} コマンドを使用してセキュリティレベルの高いセキュリティキーを生成することを推奨します。また、ssh key-exchange hostkey rsa コマンドで RSA キーを使用するように ASA を明示的に設定する場合は、2048 ビット以上のキーを生成する必要があります。アップグレードの互換性のために、ASA はデフォルトのホストキー設定が使用されている場合にのみ、より小さい RSA ホストキーを使用します。RSA のサポートは今後のリリースで削除されます。
-
2048 よりも小さい RSA キーは、9.16(1) では生成できません:crypto key generate rsa コマンドを使用して 2048 よりも小さい RSA キーを生成することはできません。
SSH の場合、アップグレード後も既存の小さいキーを引き続き使用できますが、より大きなサイズまたはより高いセキュリティキータイプにアップグレードすることを推奨します。
その他の機能については、2048 よりも小さい RSA キーサイズで署名された既存の証明書は、ASA 9.16.1 以降では使用できません。crypto ca permit-weak-crypto コマンドを使用して既存の小さいキーの使用を許可できますが、このコマンドを使用しても、新しい小さい RSA キーを生成することはできません。
-
ssh version コマンドは 9.16(1) で削除されました:このコマンドは削除されました。SSH バージョン 2 のみサポートされます。
-
SAMLv1 機能は 9.16(1) で削除されました:SAMLv1 のサポートは削除されました。
-
9.16(1) では DH グループ 2、5、24 はサポートされません:SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。ssl dh-groupコマンドが更新され、コマンドオプション group2、group5およびgroup24が削除されました。
-
シスコは、ASA バージョン 9.17(1) で有効なクライアントレス SSL VPN の非推奨機能を発表しました。9.17(1) より前のリリースでは、限定的なサポートが継続されます。より堅牢で新しいソリューション(たとえば、リモート Duo ネットワークゲートウェイ、AnyConnect、リモートブラウザの分離機能など)への移行オプションに関する詳細なガイダンスを提供します。
-
ASA 9.15(1) 以降では、ASA 5525-X、ASA 5545-X、および ASA 5555-X はサポート対象外:ASA 9.14(x) がサポートされている最後のバージョンです。ASA FirePOWER モジュールについては、6.6 がサポートされている最後のバージョンです。
-
Firepower 1010 の場合の無効な VLAN ID による問題発生の可能性:9.15(1) 以降にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。
-
Chacha-poly 暗号:AnyConnect には、更新された一連のサポートされている暗号化アルゴリズムがあります。『AnyConnect Secure Mobility Client Features, Licenses, and OSs, Release 4.10』[英語] は、TLS ベースの VPN トラフィックを開始するときに ASA に提案されます。
システム要件
このセクションでは、このリリースを実行するためのシステム要件を一覧表で示します。
ASA と ASDM の互換性
ASA/ASDM ソフトウェアおよびハードウェアの要件およびモジュールの互換性を含む互換性の詳細については、『Cisco ASA Compatibility』を参照してください。
VPN の互換性
VPN の互換性については、『Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。
新機能
このセクションでは、各リリースの新機能を示します。
 (注) |
syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
ASA 9.16(3) の新機能
リリース日:2022 年 4 月 6 日
このリリースに新機能はありません。
ASA 9.16(2) の新機能
リリース:2021 年 8 月 18 日
このリリースに新機能はありません。
ASA 9.16(1) の新機能
リリース日:2021 年 5 月 26 日
|
機能 |
説明 |
|---|---|
|
ファイアウォール機能 |
|
|
システム定義の NAT ルールの新しいセクション 0 |
新しいセクション 0 が NAT ルールテーブルに追加されました。このセクションは、システムの使用に限定されます。システムが正常に機能するために必要なすべての NAT ルールがこのセクションに追加され、これらのルールは作成したルールよりも優先されます。以前は、システム定義のルールがセクション 1 に追加され、ユーザー定義のルールがシステムの適切な機能を妨げる可能性がありました。セクション 0 のルールを追加、編集、または削除することはできませんが、show nat detail コマンド出力に表示されます。 |
|
デフォルトの SIP インスペクション ポリシー マップは、非 SIP トラフィックをドロップします。 |
SIP インスペクションされるトラフィックでは、現在、デフォルトでは非 SIP トラフィックがドロップされます。以前のデフォルトでは、SIP のインスペクション対象ポートで非 SIP トラフィックが許可されていました。 デフォルトの SIP ポリシーマップが変更され、no traffic-non-sip コマンドが追加されました。 |
|
GTP インスペクションでドロップされる IMSI プレフィックスを指定する機能です。 |
GTP インスペクションでは、許可する Mobile Country Code/Mobile Network Code(MCC/MNC)の組み合わせを識別するために、IMSI プレフィックス フィルタリングを設定できます。ドロップする MCC/MNC の組み合わせに対して IMSI フィルタリングを実行できるようになりました。これにより、望ましくない組み合わせをリストにして、デフォルトで他のすべての組み合わせを許可することができます。 drop mcc コマンドが追加されました。 |
|
初期接続の最大セグメントサイズ(MSS)を設定します。 |
サービスポリシーを設定して、初期接続制限に達したときに初期接続の SYN cookie を生成するためのサーバの最大セグメントサイズ(MSS)を設定できます。これは、最大初期接続数も設定するサービスポリシーの場合に意味があります。 新規/変更されたコマンド:set connection syn-cookie-mss |
|
多対 1 および 1 対多接続の CPU 使用率とパフォーマンスが向上しました。 |
ダイナミック NAT / PAT およびスキャン脅威検出とホスト統計情報を含む接続を除き、システムは接続の作成時に、ローカルホストオブジェクトを作成せず、ロックすることもなくなりました。これにより、多数の接続を同じサーバー(ロードバランサや Web サーバーなど)に対して確立する場合や、1 つのエンドポイントが多数のリモートホストに接続する場合に、パフォーマンスと CPU 使用率が向上します。 次のコマンドが変更されました:clear local-host (廃止)、 show local-host |
|
プラットフォーム機能 |
|
|
VMware ESXi 7.0 用の ASAv サポート |
ASAv 仮想プラットフォームは、VMware ESXi 7.0 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェアバージョンが追加され、ESXi 7.0 で ASAv の最適なパフォーマンスと使いやすさを実現しました。 変更されたコマンドはありません。 変更された画面はありません。 |
|
ASAv の Intel® QuickAssist テクノロジー(QAT) |
ASAv は、 Intel QuickAssist(QAT)8970 PCI アダプタを使用する ASAv 展開にハードウェア暗号化アクセラレーションを提供します。ASAv を使用した ASAv のハードウェア暗号化アクセラレーションは、VMware ESXi および KVM でのみサポートされます。 変更されたコマンドはありません。 変更された画面はありません。 |
|
OpenStack の ASAv |
ASAv 仮想プラットフォームに OpenStack のサポートが追加されました。 変更されたコマンドはありません。 変更された画面はありません。 |
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
|
Firepower 4100/9300 でのクラスタリングの PAT ポートブロック割り当てが改善されました |
PAT ポートブロック割り当ての改善により、制御ユニットはノードに参加するためにポートを確保し、未使用のポートを積極的に再利用できるようになります。割り当てを最適化するために、cluster-member-limit コマンドを使用して、クラスタ内に配置する予定の最大ノードを設定できます。これにより、制御ユニットは計画されたノード数にポートブロックを割り当てることができ、使用する予定のない追加のノード用にポートを予約する必要がなくなります。デフォルトは 16 ノードです。また、syslog 747046 を監視して、新しいノードに使用できるポートが十分にあることを確認することもできます。 新規/変更されたコマンド:cluster-member-limit 、show nat pool cluster [summary] 、show nat pool ip detail |
|
show cluster history コマンドの改善 |
show cluster history コマンドの出力が追加されました。 新規/変更されたコマンド: show cluster history brief 、show cluster history latest 、show cluster history reverse 、show cluster history time |
|
Firepower 1140 の最大コンテキスト数が 5 から 10 に増加 |
Firepower 1140 は、最大 10 のコンテキストをサポートするようになりました。 |
|
証明書の機能 |
|
|
認定のための Enrollment over Secure Transport(EST) |
ASA は、Enrollment over Secure Transport(EST)を使用した証明書の登録をサポートしています。ただし、EST 登録は、RSA キーおよび ECDSA キーとのみ使用するように設定できます。EST 登録用に設定されたトラストポイント用に EdDSA キーペアを使用することはできません。 新規/変更されたコマンド:enrollment protocol 、crypto ca authenticate 、およびcrypto ca enroll |
|
新しい EdDSA キーのサポート |
新しいキーオプション EdDSA が、既存の RSA および ECDSA オプションに追加されました。 新規/変更されたコマンド:crypto key generate 、crypto key zeroize 、show crypto key mypubkey |
|
証明書キーの制限を上書きするコマンド |
認定に SHA1with RSA 暗号化アルゴリズムを使用するためのサポート、および RSA キーサイズが 2048 未満の証明書のサポートが削除されました。crypto ca permit-weak-crypto コマンドを使用して、これらの制限を上書きできます。 新規/変更されたコマンド: crypto ca permit-weak-crypto |
|
管理およびトラブルシューティングの機能 |
|
|
SSH セキュリティの改善 |
SSH が次の SSH セキュリティの改善をサポートするようになりました。
新規/変更されたコマンド:crypto key generate eddsa 、crypto key zeroize eddsa 、show crypto key mypubkey、ssh cipher encryption chacha20-poly1305@openssh.com 、ssh key-exchange group {ecdh-sha2-nistp256 | curve25519-sha256} 、ssh key-exchange hostkey 、ssh version |
|
モニタリング機能 |
|
|
SNMPv3 認証 |
ユーザー認証に SHA-224 および SHA-384 を使用できるようになりました。ユーザー認証に MD5 を使用できなくなりました。 暗号化に DES を使用できなくなりました。 新規/変更されたコマンド:snmp-server user |
|
VPN 機能 |
|
|
スタティック VTI での IPv6 のサポート |
ASA は、仮想トンネルインターフェイス(VTI)の設定で IPv6 アドレスをサポートしています。 VTI トンネル送信元インターフェイスには、トンネルエンドポイントとして使用するように設定できる IPv6 アドレスを設定できます。トンネル送信元インターフェイスに複数の IPv6 アドレスがある場合は、使用するアドレスを指定できます。指定しない場合は、リストの最初の IPv6 グローバルアドレスがデフォルトで使用されます。 トンネルモードは、IPv4 または IPv6 のいずれかです。ただし、トンネルをアクティブにするには、VTI で設定されている IP アドレスタイプと同じである必要があります。IPv6 アドレスは、VTI のトンネル送信元インターフェイスまたはトンネル宛先インターフェイスに割り当てることができます。 新規/変更されたコマンド:tunnel source interface 、tunnel destination 、tunnel mode |
|
デバイスあたり 1024 個の VTI インターフェイスのサポート |
デバイスに設定できる VTI の最大数が、100 個から 1024 個に増加しました。 プラットフォームが 1024 個を超えるインターフェイスをサポートしている場合でも、VTI の数はそのプラットフォームで設定可能な VLAN の数に制限されます。たとえば、ASA 5510 は 100 個の VLAN をサポートしているため、トンネル数は 100 から設定された物理インターフェイスの数を引いた数になります。 新規/変更されたコマンド:なし |
|
SSL の DH グループ 15 のサポート |
SSL 暗号化の DH グループ 15 のサポートが追加されました。 新規/変更されたコマンド: ssl dh-group group15 |
|
IPsec 暗号化の DH グループ 31 のサポート |
IPsec 暗号化の DH グループ 31 のサポートが追加されました。 新規/変更されたコマンド: set pfs |
|
IKEv2 キューの SA を制限するサポート |
SA-INIT パケットのキュー数を制限するサポートが追加されました。 新規/変更されたコマンド: crypto ikev2 limit queue sa_init |
|
IPsec 統計情報をクリアするオプション |
IPsec 統計情報をクリアおよびリセットするための CLI が導入されました。 新規/変更されたコマンド:clear crypto ipsec stats およびclear ipsec stats |
ソフトウェアのアップグレード
このセクションには、アップグレードを完了するためのアップグレードパス情報とリンクが記載されています。
ASA のアップグレードパス
現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。
-
ASDM: の順に選択します。
-
CLI:show version コマンドを使用します。
次の表に、ASA のアップグレードパスを示します。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要な場合があります。推奨バージョンは太字で示されています。
(注) |
開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。 |
(注) |
(注) |
ASA 9.14(x) は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。 ASA 9.12(x) は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、 ASA 9.2(x) は ASA 5505 用の最終バージョン、 ASA 9.1(x) は ASA 5510、5520、5540、5550、および 5580 用の最終バージョンです。 |
|
現在のバージョン |
暫定アップグレードバージョン |
ターゲットバージョン |
|---|---|---|
|
9.15(x) |
— |
次のいずれかになります。 → 9.16(x) |
|
9.14(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) |
|
9.13(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) |
|
9.12(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) |
|
9.10(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) → 9.12(x) |
|
9.9(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) → 9.12(x) |
|
9.8(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) → 9.12(x) |
|
9.7(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) → 9.12(x) → 9.8(x) |
|
9.6(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) → 9.12(x) → 9.8(x) |
|
9.5(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) → 9.12(x) → 9.8(x) |
|
9.4(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) → 9.12(x) → 9.8(x) |
|
9.3(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) → 9.12(x) → 9.8(x) |
|
9.2(x) |
— |
次のいずれかになります。 → 9.16(x) → 9.15(x) → 9.14(x) → 9.12(x) → 9.8(x) |
|
9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4) |
— |
次のいずれかになります。 → 9.14(x) → 9.12(x) → 9.8(x) → 9.1(7.4) |
|
9.1(1) |
→ 9.1(2) |
次のいずれかになります。 → 9.14(x) → 9.12(x) → 9.8(x) → 9.1(7.4) |
|
9.0(2)、9.0(3)、または 9.0(4) |
— |
次のいずれかになります。 → 9.14(x) → 9.12(x) → 9.8(x) → 9.6(x) → 9.1(7.4) |
|
9.0(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.14(x) → 9.12(x) → 9.8(x) → 9.1(7.4) |
|
8.6(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.14(x) → 9.12(x) → 9.8(x) → 9.1(7.4) |
|
8.5(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
|
8.4(5+) |
— |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) → 9.0(4) |
|
8.4(1) ~ 8.4(4) |
→ 9.0(4) |
→ 9.12(x) → 9.8(x) → 9.1(7.4) |
|
8.3(x) |
→ 9.0(4) |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
|
8.2(x) 以前 |
→ 9.0(4) |
次のいずれかになります。 → 9.12(x) → 9.8(x) → 9.1(7.4) |
アップグレードリンク
アップグレードを完了するには、『Cisco ASA Upgrade Guide』を参照してください。
未解決のバグおよび解決済みのバグ
このリリースで未解決のバグおよび解決済みのバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。
(注) |
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントがない場合は、アカウントを登録できます。シスコサポート契約がない場合は、ID でのみバグを探すことができます。検索は実行できません。 |
Cisco Bug Search Tool の詳細については、Bug Search Tool(BST)ヘルプおよび FAQ を参照してください。
バージョン 9.16(x) で未解決のバグ
次の表に、このリリースノートの発行時点で未解決のバグを示します。
|
ID |
見出し |
|---|---|
|
不安定なクライアントプロセスは、FTD で LINA zmqio トレースバックを引き起こす可能性がある |
|
|
ASA 9.12-9.15 から 9.16 へのアップグレード時にすべてのタイプ 8 のパスワードが失われ、フェールオーバーが無効になる |
|
|
FP2100:半二重の物理ポートにより、LINA を離れるすべてのパケットがシャーシによってドロップする |
|
|
FTD を実行している FPR2100 により、パケットがドロップし、パフォーマンスが低下する場合がある |
|
|
ASA/FTD:VTI にルーティングされるパケットに DF ビットが設定されている |
|
|
ASA/FTD ハイアベイラビリティは、予期しない lacp プロセスの終了に対して回復力がない |
|
|
ルーティングでの ASA のトレースバックとリロード |
|
|
プライマリはリロード後にアクティブな役割を果たします |
|
|
NAT (any,any) ステートメントは、フェールオーバー インターフェイスの状態を示し、結果としてスプリット ブレイン イベントが発生する |
|
|
SSH/TELNET/HTTP/TFTP 設定で無効なネットマスクを受け入れる ASA |
解決済みのバグ
このセクションでは、リリースごとに解決済みのバグを一覧表で示します。
バージョン 9.16(3) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
クラスタ:別のクラスタユニットに応答が着信する場合は、外部 IP への FTD/ASA を送信元とする ping が失敗することがある |
|
|
Smart Call Home プロセスにより ASA がトレースバックする |
|
|
マルチコアプラットフォームで ASA show processes cpu-usage output が誤解を招く |
|
|
特定のロックが長時間競合した場合のマスターと 1 つのスレーブのトレースバック |
|
|
GRE ヘッダー プロトコル フィールドが内部 IP ヘッダーのプロトコルフィールドと一致しない場合の暗号エンジンエラー |
|
|
Snmpwalk がフェールオーバー インターフェイスのトラフィックカウンターを 0 として表示する |
|
|
ASA:syslog レートが高い場合の 256 バイトのブロック枯渇 |
|
|
フェイルオーバー後に ipv6 インターフェイスで snmpwalk が失敗します |
|
|
DATAPATH での ASA のリロードとトレースバック |
|
|
「show cluster info trace」の出力が「タグが存在しません」というメッセージにより負担がかかっています |
|
|
Cisco ASA および FTD ソフトウェアのリソースの枯渇で確認されたサービス拒否攻撃に対する脆弱性 |
|
|
Radius サーバーが dACL を送信し、vpn-simultaneous-logins が 1 に設定されていると、同じユーザーからの VPN 接続が失敗する |
|
|
ASAv Azure:一定期間の実行後、一部またはすべてのインターフェイスがトラフィックの通過を停止する場合がある |
|
|
異なるコンテキストで同じインターフェイスとネットワークに ipv6 アドレス/プレフィックスを設定できません |
|
|
PLR モードの ASA で「ライセンスのスマート予約」が失敗する。 |
|
|
管理セッションが数週間後に接続に失敗 |
|
|
「スイッチオーバーなし」の場合、アクティブは CoA アップデートをスタンバイに送信しようとする |
|
|
ASA を 9.15(1)10 にアップグレードした後、ASDM 7.15(1)150 ワンタイムパスワード(OTP)フィールドが表示されない |
|
|
FDM フェールオーバーペア:新しく設定された sVTI IPSEC SA はスタンバイに同期されない。FDM は HA が同期していないことを示しています |
|
|
以前の動的 xlate が作成されると、FTD で UN-NAT が作成される |
|
|
Anyconnect パッケージの検証中に FTD のトレースバックとリロードが発生する |
|
|
ipsec 構成で NULL 暗号化を使用すると、L2L VPN セッションの起動が失敗する |
|
|
UAuth エントリがスタックしているため、リモートアクセス IKEv2 VPN セッションを確立できない |
|
|
FTD がリブート時にすべての VRF インスタンスの OSPF ネットワークステートメント設定を失う |
|
|
RSA キーと証明書が ASA コード 9.12.x を使用した WS-SVC-ASA-SM1-K7 でリロード後に削除される |
|
|
頻繁な PDTS 読み取り/書き込みによる FTDv スループットの低下 |
|
|
キー設定が存在する場合の SNMP 暗号化コミュニティストリングによる ASA トレースバックとリロード |
|
|
VTI トンネルインターフェイスが、HA の KP および WM プラットフォームでリロード後もダウンしたままになる |
|
|
ブロック 80 および 256 の枯渇スナップショットが作成されない |
|
|
ASA および FTD メモリブロックの位置がデータパスでの断片化されたパケットに対して更新されない |
|
|
デバッグ:crasLocalAddress の SNMP MIB 値に IP アドレスが表示されない |
|
|
WM スタンバイデバイスは、再起動後にコールドスタートトラップを送信しません |
|
|
スタンバイデバイスが、フェールオーバー後に SSL トラフィックのキープアライブメッセージを送信する |
|
|
デフォルトの外部ルートが使用されると、Azure 上の ASAv がメタデータサーバーへの接続を失う |
|
|
ローエンドプラットフォームでの Msglyr プールメモリの減少による ZMQ OOM |
|
|
TCP ping の VRF ルートルックアップがない |
|
|
ダウングレード後の ASA/FTD トレースバックとリロード |
|
|
SSH セッションが解放されません |
|
|
Cisco ASA および FTD の Web サービスで確認されたサービス拒否攻撃に対する脆弱性 |
|
|
スレッド名 SNMP ContextThread での ASA トレースバックおよびリロード |
|
|
スティッキネストラフィックによる PAT プールの枯渇は、新しい接続のドロップにつながる可能性があります。 |
|
|
Cisco ASA および FTD ソフトウェアの IKEv2 サイト間 VPN で確認されたサービス拒否攻撃に対する脆弱性 |
|
|
FTD/ASA:ACP に新しい ACE エントリを追加すると、LINA の ACE 要素が削除および再追加される |
|
|
CSCvr33428 および CSCvy39659 によって導入された変更をロールバックする |
|
|
SNMP 機能に関連するプロセス名 lina の FTD トレースバックとリロード |
|
|
フェールオーバー後、ASA がアクティブ IP アドレスとスタンバイ MAC アドレスを使用して VTY セッションを切断します |
|
|
FP21xx のトレースバック「Panic:DATAPATH-10-xxxx -remove_mem_from_head: Error - found a bad header」 |
|
|
IKEv2: SA エラーコードは、ユーザーにわかりやすいように理由を変換する必要があります |
|
|
Cisco Firepower Threat Defense ソフトウェアの TCP Proxy DoS 攻撃に対する脆弱性 |
|
|
スレッド名 Lina での FTD のトレースバックおよびリロード |
|
|
スレッド名 Checkheaps で FTD lina トレースバックとリロードが発生する |
|
|
ASA のアップグレード後、webvpn でトレースバックとリロードが定期的に発生する |
|
|
ASA の切り捨てられた/破損した設定に関連する AnyConnect 接続の障害 |
|
|
7.0 での SE リングタイムアウトで生成された暗号アーカイブ |
|
|
sha1 ではなく sha256 リクエストが原因で PKI の「OCSP 失効チェック」が失敗する |
|
|
クラスタでの xlate の複製中に Lina トレースバックによる FTD のリロードが発生する |
|
|
最初の機能の有効化/展開としてプラットフォーム設定に複数の SSH ホストエントリがあると、LINA で SSH が切断される |
|
|
ASA55XX:ソフトウェアアップグレード後に拡張モジュールインターフェイスが起動しない |
|
|
ASA:孤立した SSH セッションでは、CLI からポリシーマップを削除できない |
|
|
ASP ドロップキャプチャ出力に誤ったドロップ理由が表示される場合がある |
|
|
ヘッダーのみが設定されているにもかかわらず、クラスタ CCL インターフェイスキャプチャには完全なパケットが表示されない |
|
|
スレッド名 Datapath での ASA のトレースバックおよびリロード |
|
|
ディスパッチャは、特定の条件下で保留中の非同期ロックを考慮しないため、CPU ユーティリティが低下 |
|
|
Anyconnect プロファイルのループ処理で、ASA および FTD がトレースバックおよびリロードする場合がある |
|
|
FTDv - Lina のトレースバックおよびリロード |
|
|
nat が IP ではなくポート番号に一致する pbr ACL に一致した場合、nat の un-nat が 2 回発生しない |
|
|
show コマンドが発行されると SNMP エージェントが再起動する |
|
|
snmpd コアで再起動したデバイス |
|
|
ASA:129 行の asp-drop キャプチャにドロップ理由がありません |
|
|
ASA:システムコンテキストでインターフェイスのフラップが発生したときに、カスタムコンテキストからの ARP エントリが削除されない |
|
|
「show capture」コマンドが実行されると、FTD または Lina がトレースバックすることがある |
|
|
clear configure snmp-server コマンドが発行されると ASA のトレースバックとリロードが発生する |
|
|
ASA/FTD:手動 NAT ルールでオブジェクトグループを変更した後、NAT は送信元アドレスの変換を停止 |
|
|
ASA が DACL のダウンロードに失敗した場合、試行を停止しない |
|
|
既存のユーザーで複数のコンテキストスイッチを実行した後、ASDM セッションが新しいユーザーに提供されない |
|
|
FTD または ASA - 9.14.2.15 から 9.14.3 へのアップグレード後にブートループでスタックする |
|
|
直接接続されていないネイバーのために BGP パケットがドロップされる |
|
|
snmp_master_callback_thread での ASAv のトレースバックとリロード |
|
|
ASA または AnyConnect - 古い RADIUS セッション |
|
|
アクセスリストに明確なルールが存在するにもかかわらず、暗黙の ACL によって ASA トラフィックがドロップする |
|
|
HA のフェイルオーバー後に内部 LDAP 属性マッピングが失敗する |
|
|
hostscan のアップグレード中に ASAv がトレースバックを確認する |
|
|
FTD:ngfw-interface および host-group を使用して SNMP ホストを削除しようとすると、展開が失敗する |
|
|
FTDは、スレッド名 'lina' でトレースバックおよびリロードする場合がある |
|
|
スレッド名 DATAPATH-15-18621 でのトレースバックおよびリロード |
|
|
TLS サーバー検出は、AnyConnect 展開のプローブに誤った送信元 IP アドレスを使用 |
|
|
FPR2100:ESP-Null 暗号化を使用すると、L2L VPN トンネルを形成できない |
|
|
show tech-support の出力は、crashinfo がある場合に混乱を招く可能性があり、クリーンアップするまたは直感的にする必要があります |
|
|
ASA が、name-server コマンドで指定されたインターフェイスを使用して IPv6 DNS サーバーに到達しない |
|
|
ASA:「HA 状態の進行に失敗した」後、HA ペアで失敗した ASA が自動的に回復されない |
|
|
メモリ不足の状態での SSL null チェックによる FTD/ASA のトレースバックとリロード |
|
|
トラフィックが存在する場合でも、設定されたアイドルタイムアウト後に TCP 接続がクリアされる |
|
|
LINA プロセスでの FTD のトレースバックとリロード |
|
|
conf t が、context-config モードで disk0:/t に変換される |
|
|
ポリシーの展開後に Snort ダウンする |
|
|
SCTP トラフィックにより ASA がトレースバックする。 |
|
|
MASTER_POST_CONFIG 状態のクラスタユニットは、一定期間後に無効状態に移行する必要がある |
|
|
ICMP エラーメッセージを処理する際、DATAPATH で ASA がトレースバックする |
|
|
クラスタ構成の同期中に表示される「Netsnmp_update_ma_config: ERROR Failed to build req」メッセージ |
|
|
update_mem_reference の CPU ホグ |
|
|
ICMP 到達不能メッセージ生成時のメモリ破損による ASA および FTD のトレースバックとリロード |
|
|
コマンド「show access-list」実行時の SSH プロセスでの ASA のトレースバックとリロード |
|
|
ASDM セッション数とクォータ管理の数が一致しないASDM の「ロスト接続ファイアウォール」メッセージ |
|
|
FTD で変更される IPV6 DNS PTR クエリ |
|
|
複数のインラインペアでの単一接続が原因で SSL 復号化が機能しない |
|
|
anyconnect セッションが終了した後、ASA ログに転送されたデータの間違った値が表示される |
|
|
LINA はトレースバックとリロードを生成する可能性がある |
|
|
SAML ハンドラの処理中に ASA でトレースバックが観察される |
|
|
dhcpp_add_ipl_stby によるスタンバイの高いコントロールプレーン CPU |
|
|
ikev2 トンネルで約 2 分かかる ASA からのコンテキストを削除します |
|
|
ASA/FTD が、スタックトレースの「c_assert_cond_terminate」でトレースバックおよびリロードする場合がある |
|
|
FTD:スレッド名 DATAPATH でのトレースバック |
|
|
ASA および FTD のスタンバイユニットが HA に参加できない |
|
|
RFC5424 が有効な場合、一貫性のないロギングタイムスタンプが起こる |
|
|
管理トンネルを実装している間、ユーザーはオープン接続を使用して AnyConnect をバイパスできる |
|
|
RA トンネルで DTLS1.2 を使用する場合の FTD トレースバックとリロード |
|
|
Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの DNS DoS の脆弱性 |
|
|
OSPFv3:FTD の間違った「転送アドレス」が ospfv3 データベースに追加される |
|
|
ASA では、FO 後にアクティブ IP アドレスとスタンバイ MAC アドレスを使用して ssh、https セッションが切断される |
|
|
asa-9.14.3 から asa-9.15.1/9.16.1.28 にアップグレードした後、NTP が *(同期)ステータスに変更されない |
|
|
ASA/FTD:サイト間 VPN:トラフィックが正しく断片化されていない |
|
|
「タイマーサービス」機能により、ASA および FTD のトレースバックとリロードが発生する |
|
|
FXOS および FTD を 2.10.1.159 および 6.6.4 にアップグレードした後に FTD 25G、40G、および 100G のインターフェイスがダウンする |
|
|
プライマリ ASA は、スプリットブレインが検出され、ピアがコールドスタンバイになるとすぐに GARP を送信する必要がある |
|
|
ブロック解放中に Lina のトレースバックとリロードにより、FTD ブートループが発生する |
|
|
マルチ コンテキスト スイッチオーバーが ASDM から実行される場合の ASA での ASDM セッション/クォータカウントが不一致である |
|
|
OSPFv2 フローにクラスター集中型「c」フラグがない |
|
|
アップグレード後の SSL VPN のパフォーマンスの低下と重大な安定性に関する問題 |
|
|
起動時の ASA 9.14 の使用可能な DMA メモリが不足し、サポートされる AnyConnect セッションが減少 |
|
|
暗号 ACL のオブジェクトグループでは、hitcnt の合計が個々の要素と一致しない |
|
|
高速トラフィックでのインターフェイスリングのドロップにより、スタンバイユニットで Statelink hello メッセージがドロップした |
|
|
AD の有効なユーザーによる ASA 特権昇格 |
|
|
ASA show tech の実行により、CPU でスパイクが発生し、IKEv2 セッションに影響を与える |
|
|
IPV4 アドレスが設定されていない場合、IPV6 での NTP 同期が失敗する |
|
|
デバイスでのメジャーバージョンの変更によるアップグレード後の FTD 展開の失敗 |
|
|
アップグレード後の NTP 同期の喪失 |
|
|
FP1120 9.14.3:アクティブなデバイスの再起動後に一時的なスプリットブレインが発生 |
|
|
VPN セッションはないが、IP アドレスが「使用中」 |
|
|
インラインセットの show コマンドと clear コマンドが機能しない |
|
|
FTD が SSL フローエラーの CORRUPT_MESSAGE でトラフィックをブロックする |
|
|
BGP ルートが未解決と表示され、「ホストへのルートがありません」という ASP のドロップが原因となりパケットをドロップする |
|
|
IPv6 PIM パケットが、無効な IP の長さによるドロップが原因となり ASP でドロップする |
|
|
Cisco ASA ソフトウェアおよび FTD ソフトウェアリモートアクセスの SSL VPN サービス拒否 |
|
|
マッピングされたグループポリシーを持つ AnyConnect ユーザーは、トンネルグループの下にあるデフォルト GP から属性を取得します |
|
|
バージョン 9.14(2)15 へのアップグレード後に SNMP が応答しなくなる |
|
|
「failover active」コマンドの実行後に、状態遷移における遅延が原因により ASA フェールオーバー スプリット ブレインが発生 |
|
|
Cisco Firepower Threat Defense ソフトウェアで確認されたサービス拒否攻撃に対する脆弱性 |
|
|
IKE デーモンスレッドでの ASA および FTD のトレースバックとリロード |
|
|
ASA/FTD:LUA から不要なプロセス呼び出しを削除 |
|
|
ASA が、「ラベル長 164 バイトがプロトコルの制限である 63 バイトを超えている」という理由で非 DNS トラフィックをドロップする |
|
|
マルチインスタンスで Lina と FXOS 間でクロックドリフトが観察された |
|
|
フローオフロード - 比較状態の値が長期間エラー状態のままになる |
|
|
asp ドロップタイプ「no-adjacency」の原因により BVI インターフェイスで設定された ASA によってトラフィックがドロップした |
|
|
FTD が UI 管理を FDM から FMC に移動すると、トラフィックが失敗する |
|
|
FTD SSL プロキシは、設定可能または動的な最大 TCP ウィンドウサイズを許可する必要がある |
|
|
オブジェクトサービスでポートの範囲を使用する場合「NAT がポートを予約できません」というエラーが発生 |
|
|
Cisco 適応型セキュリティ アプライアンスのソフトウェアクライアントレス SSL VPN ヒープオーバーフローの脆弱性 |
|
|
ASA:アップグレード後のリロード後に NTP 同期が失われる |
|
|
AnyConnect SSL の一部の syslog が、ユーザーコンテキストではなく管理コンテキストで生成される |
|
|
ASDM を使用してキャプチャを実行するとき ASA on FPR4100 のトレースバックとリロード |
|
|
FMC からの展開中にトレースバックを使用してランダム FTD がリロードされる |
|
|
プールとして範囲が広い ASA NAT66 が IPv6 で機能しない |
|
|
トレースバック: セカンダリファイアウォールをスレッド名でリロード: fover_parse |
|
|
pix_startup_thread による ASA/FTD トレースバックおよびリロード |
|
|
ASA:GTP ヘッダーに SEQ および EXT フィールドがある場合、IP ヘッダーチェックの検証に失敗する |
|
|
ハッシュテーブルへのアクセス中に無効なメモリアクセスにより Lina トレースバックとリロードが発生 |
|
|
同じ送信元 IP に割り当てられた異なる CG-NAT ポートのブロックにより、ホストごとの PAT ポートブロックが枯渇する |
|
|
FTD サービスモジュールの障害:「ND がダウンした可能性があります」という誤ったアラーム |
|
|
HTTP cli EXEC コードでの ASA トレースバック |
|
|
コントロールプレーンで DHCP オファーが表示されない |
|
|
オブジェクトで存在しない ACL を削除した後、新しいアクセスリストが有効にならない |
|
|
OGS コンパイル動作における ASA および FTD の変更によりブートループが発生する |
|
|
snp_ha_trans_alloc_msg_muxbuf_space 関数での ASA のトレースバックとリロード |
|
|
OID「1.3.6.1.4.1.9.9.171.1.3.2.1.2」をポーリングすると、関連するトンネルの負のインデックス値が得られる |
|
|
ASDM を介してインターフェイス設定を変更する場合は、Unicorn Admin Handler で ASA トレースバックおよびリロードが発生 |
|
|
条件付きフローオフロードデバッグで出力が生成されない |
|
|
ASA を 9.12.4.x にアップグレードした後、FTP インスペクションが正しく機能しなくなる |
|
|
debug webvpn cifs 255 を有効にした後トレースバックとリロードが発生 |
|
|
SNMP が予期しないオーダーにより snmpgetbulk に応答している |
|
|
スポークフラップからの IPSec トンネルの場合、トラフィックはハブで失敗し続ける |
|
|
FPR の SNMP get コマンドは、インターフェイスインデックスを表示しない |
|
|
トレースバック: Logger というスレッド名で Lina がトレースバックおよびリロードする |
|
|
トランザクションコミット診断に関する複数の問題が発生 |
|
|
ASA/FTD は、スレッド名「IP アドレス割り当て」でトレースバックおよびリロードする場合がある |
|
|
ASA/FTD フェールオーバー:アクティブメイトから設定レプリケーションを受信すると、スタンバイリブートする |
|
|
9.15.1.17 にアップグレードした後、SNMP はポーリングに応答しなくなった |
|
|
AnyConnect TLSv1.2 セッション確立中に SSL ハンドシェイクログから不明なセッションが表示される |
|
|
ASA/FTD は、スレッド名「DATAPATH-4-9608」でトレースバックおよびリロードする場合がある |
|
|
ポートチャネルメンバーであるインターフェイスの ifHighSpeed 値が正しくない |
|
|
Lina は tcpmod_proxy_handle_mixed_mode でトレースバックしてリロードする場合がある |
|
|
ASA:ジャンボサイズのパケットが L2TP トンネル上でフラグメント化されない |
|
|
ポリシーの展開中にコンソールに過度の警告が発生 |
|
|
Mempool_DMA 割り当ての問題/メモリリークが発生 |
|
|
ASA:SSH と ASDM セッションが CLOSE_WAIT でスタックし、ASA の MGMT が不足する |
|
|
FP2140 ASA 9.16.2 HA ユニットが lua_getinfo(getfuncname)でトレースバックおよびリロードする |
|
|
ASA/FTD:「署名者証明書が見つかりません」が原因で、アップグレード後に OCSP が機能しない場合がある |
|
|
ASA/FTD MAC の変更が、INSPECT がオンになっているフラグメント化されたパケットの処理で見られる |
|
|
監査メッセージが生成されない:ASAv9.12 からのロギングが有効化されない |
|
|
FTD/ASA:BFD 機能のトレースバックにより予期しないリブートを引き起こす |
|
|
SNMP の設定中に ASA CLI がランダムにハングする |
バージョン 9.16(2) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
ENH:ASA は MAXHOG のタイムスタンプを「show proc cpu-hog」に保存する必要がある |
|
|
Firepower アプライアンスで 2 つの CPU コアが継続的にスパイクする |
|
|
AWS FTD:「ERROR: failed to set interface to promiscuous mode」により展開が失敗する |
|
|
トレースバック:ASA が snp_fdb_destroy_fh_callback + 104 をリロードする |
|
|
FTD:NLP パスでリターン ICMP 接続先到達不能メッセージがドロップされている |
|
|
エンジニアリング ASA Build での ASAトレースバックとリロード:9.12.3.237 |
|
|
暗号化プロセスで FPR1120 が ASA トレースバックとリロードを実行している |
|
|
FTD アクティブユニットが host-move-pkt drop reason でインターフェイス フェールオーバー メッセージをドロップすることがある |
|
|
netflow リフレッシュタイマーによる ASA/FTD トレースバックとリロード |
|
|
IKEv2キー の再生成:Create_Child_SA 応答の直後に受信した新しい SPI を使用した ESP パケットの SPI が無効になる |
|
|
chastrcpy_s: source の文字列が着信側に対して長すぎるため ASA がトレースバックおよびリロードする |
|
|
CP がピン接続されているコアでのコアローカルブロック割り当ての失敗によりドロップが発生する |
|
|
「Initiator/Responder」パケットを 0 として示す SSL 復号化された https フローの EOF イベント |
|
|
ASA CP の誤った計算により、パーセンテージが高くなる(CP CPU 100%) |
|
|
ファイアウォール MIB 内の特定の OID に対して SNMP 一括取得が機能せず、デバイスのパフォーマンスが低下する |
|
|
Umbrella によるトレースバックとリロード |
|
|
SSL ポリシーを使用したファイル転送またはファイルアップロードが低速で、復号化の再署名アクションが適用される |
|
|
ASA/FTDは、設定をメモリに保存/書き込みするときにトレースバックおよびリロードすることがある |
|
|
HAで FPR 2100 が ASA を実行するフェールオーバー中のウォッチドッグでのトレースバックとリロード |
|
|
ifXTable の snmwapwalk がデータインターフェイスを返さないことがある |
|
|
セカンダリ ASA がスタートアップ コンフィギュレーションを取得できない |
|
|
クラスタコマンドを使用して長い宛先ファイル名を持つファイルをコピーする場合にASA がトレースバックおよびリロードする |
|
|
スレッド Lic HA クラスタでのトレースバック |
|
|
uauth のデバッグ機能の改善 |
|
|
access-list の再設定時の ASAトレースバック |
|
|
暗号の不一致が原因で HA がアクティブ/アクティブ状態になる |
|
|
DHCP 予約で一部のデバイスに予約済みアドレスを適用できない |
|
|
スレッド名 DATAPATH での ASA トレースバックおよびリロード |
|
|
CSCuz67596 の修正を実行中でも、スレッド名 Unicorn Admin Handler で ASA クラスタがトレースバックする |
|
|
トレースバック:LINA プロセスで FPR 2110 の ASA がトレースバックおよびリロードする |
|
|
REST API ログインページの問題 |
|
|
IKEv2 の A/Sフェールオーバーペアでの ASA トレースバックとリロード。 |
|
|
登録フラグ付きのカプセル化されたパケットが RP に送信されたときに、PIM Register Sent カウンタが増加しない |
|
|
証明書認証が使用される場合に Web ポータルで永続的なリダイレクトが発生する |
|
|
FTD がインラインペア展開で TCP フローを不必要に ACK する |
|
|
/ngfwに空き領域がない |
|
|
DNS ルックアップが有効な場合、「show route bgp」または「show route isis」であいまいなコマンドエラーが表示される |
|
|
Azure の FTDv 6.7 が GigabitEthernet インターフェイスで 1000 の速度を設定できない |
|
|
ASA/FTDは、最大再試行回数に達した後も連続的な RADIUS アクセス要求を送信する |
|
|
ASA/FTD がスレッド名「DATAPATH-15-14815」でトレースバックし、リロードすることがある |
|
|
マルチインスタンス FTD の Lic TMR スレッドでの FTDトレースバックとリロード |
|
|
UAuth エントリがスタックしているため、リモートアクセス IKEv2 VPN セッションを確立できない |
|
|
メモリヘッダー検証によるプロセス名 lina での ASA トレースバックとリロード |
|
|
ASA/FTD がスレッド名「Unicorn Proxy Thread」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名「ssh」でトレースバックし、リロードすることがある |
|
|
IKE デーモンプロセスでの ASA トレースバックおよびリロード |
|
|
OCSP タイムアウトが長い場合、AnyConnect 認証が失敗することがある |
|
|
ASA/FTD がスレッド名「webvpn_task」でトレースバックおよびリロードすることがある |
|
|
FTD がリブート時にすべての VRF インスタンスの OSPF ネットワークステートメント設定を失う |
|
|
ドキュメントに反して、10 ミリ秒未満の CPU 占有が発生する |
|
|
キー設定が存在する場合の SNMP 暗号化コミュニティストリングによる ASA トレースバックとリロード |
|
|
ブロック 80 および 256 の枯渇スナップショットが作成されない |
|
|
HA の再起動後に SNMP v3 設定が失われる |
|
|
Lina と FXOS 間の同期外れの時間 |
|
|
直接認証トラフィックが ASA を通過している場合でも ASA 直接認証がタイムアウトする |
|
|
ASAv が MAC テーブルの自身のアドレスに非アイデンティティ L2 エントリを追加し、HA hello をドロップする |
|
|
Cisco ASA 9.16.1 と FTD 7.0.0 の IPsec に関するサービス妨害(DoS)の脆弱性 |
|
|
vpnfol_sync/Bulk-sync keytab がスタックしているため、FTD HA がバルク状態のままになる |
|
|
AWS TenGigabit インターフェイス上の ASAv が 10000Mbps ではなく 1000mbps を学習している |
|
|
ASA アカウンティングが誤った Acct-Session-Time を報告する |
|
|
ASA:暗号 ACL の「deny ip any any」エントリにより、IKEv2 リモート AnyConnect アクセス接続が阻止される |
|
|
スタンバイデバイスが、フェールオーバー後に SSL トラフィックのキープアライブメッセージを送信する |
|
|
ダウングレード後の ASA/FTD トレースバックとリロード |
|
|
snmp コマンドを無効にする場合の ASA/FTD トレースバックとリロード |
|
|
7.0 へのアップグレード後の SSL に関連する FTD トレースバックとリロード |
|
|
SNMP 機能に関連するプロセス名 lina の FTD トレースバックとリロード |
|
|
ASA のアップグレード後、webvpn でトレースバックとリロードが定期的に発生する |
|
|
clear configure snmp-server コマンドが発行されると ASA のトレースバックとリロードが発生する |
バージョン 9.16(1) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
スケジューラ破損の問題に対する検出と自動修正の機能を実装する |
|
|
「show asp drop」情報を取得するための SNMP OID を含める機能 |
|
|
ASA:まれに発生した CP 処理での破損によってコンソールロックが発生する |
|
|
IRB/TFW 設定でホストが到達不能な場合に ASA コアブロックが枯渇する |
|
|
スレッド名 Unicorn Proxy Thread で ASA が 9.6.4.20 トレースバックを実行する |
|
|
ASA:tcp_intercept スレッド名 thread detection でのトレースバック |
|
|
ENH:ASA を実行している 4100/9300 と同様に、2100 でコンソールメッセージをログに記録する必要がある |
|
|
Cisco Adaptive Security Appliance と Firepower Threat Defense ソフトウェアリモート |
|
|
SR-IOV インターフェイス上の ASAv フェールオーバー トラフィックが、インターフェイスのダウンによりドロップされることがある |
|
|
FXOS:サービスモジュールの hwclock を同時書き込みコリジョンによる破損から修復 |
|
|
ASA「Chassis 0 Cooling Fan OK」SCH メッセージを使用した FRP 1000 および FPR2100 シリーズの重大な RPMアラート |
|
|
スレッド idfw_proc での ASA のトレースバック |
|
|
SSL ハンドシェイク中の ASA のトレースバックとリロード |
|
|
HTTP クリーンアップによるクライアントレス WebVPN のトレースバックまたはページ障害 |
|
|
FTD LINA トレースバック & リロード処理中の Snort リターン判定 |
|
|
インラインタップモードを有効にすると、パフォーマンスが 20 〜 50% 低下することがある。 |
|
|
SSL 復号ポリシーを有効にした後、FTD Lina エンジンがデータパスでトレースバックすることがある |
|
|
新しいコンテキストの作成中に「config-url」を入力すると、ASA のトレースバックが発生する |
|
|
特定の状況下で Netflow テンプレートが送信されない |
|
|
ASAv AnyConnect ユーザがアイドルタイムアウトで予期せず切断される |
|
|
6.7.0-1992:重複した接続イベントの 1 つに空の SSL 情報がある |
|
|
FTD/ASA は、ファイル名に「!」の文字を含むコアダンプファイルを作成する(lina 変更)。 |
|
|
Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの Web DoS の脆弱性 |
|
|
FPR2100 1 Gig ファイバ SFP インターフェイスが ASA アプライアンスモードでダウンする |
|
|
Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの Web DoS の脆弱性 |
|
|
inspect esmtp での ASA のトレースバックとリロード |
|
|
DATAPATH での ASA 9.12 のランダムトレースバックおよびリロード |
|
|
ブックマーク SSL 暗号設定の変更中の ASA トレースバック |
|
|
ASA のアップグレード後、startup-config で OSPF ネットワークコマンドが欠落する |
|
|
fover および SSH スレッドによるトレースバック |
|
|
トレースバックにより purg_process となる |
|
|
スレッド名 ace_work で ASA5555 がトレースバックし、リロードする |
|
|
夜間に VPN、EMIX、および SNMP トラフィックを実行中に、タイマーで KP をトレースバックする |
|
|
コアファイルを作成する FTD での予期しないトレースバックとリロード |
|
|
ASA:igb_saleen_io_sfp_mod_poll_thread プロセスで CPU 専有の値が高くなる |
|
|
ASA:EasyVPN HW クライアントが重複したフェーズ 2 のキー再生成をトリガーし、トンネル経由で切断される |
|
|
ASA/FTD がスレッド名 fover_FSM_thread でトレースバックし、リロードすることがある |
|
|
ASA/FTD:HA スイッチオーバー後に接続されたスイッチで MAC アドレステーブルのフラッピングが表示される |
|
|
FTD 6.6:snmpd プロセスの CPU がスパイクする |
|
|
ASA が「octnic_hm_thread」でリロードし続け、リロード後は回復するまでに非常に長い時間がかかる |
|
|
セカンダリユニットがクラスタに参加できない |
|
|
Firepower 2140 での VPNス レッドによる ASA のトレースバックとリロード |
|
|
PDTS Tx キューがスタックしたまま Snort がビジー状態でドロップする |
|
|
「show tech-support」コマンドの実行中の ASA トレースバックとリロード |
|
|
サイト間セッションおよび AnyConnect セッションで ASA の古い VPN コンテキストが表示される |
|
|
オフロードされたトラフィックが ECMP セットアップでセカンダリルートにフェールオーバーされない |
|
|
LINA プロセスでの ASA トレースバック |
|
|
カプセル化されたフローを処理する際の DATAPATH スレッドでの FTD トレースバックとリロード |
|
|
radius_rcv_auth により、コントロールプレーンの CPU 使用率が 100% になることがある |
|
|
プライマリユニットのインターフェイスが init 状態のままであるため、セカンダリユニットがバルク同期状態で無限にスタックする |
|
|
スレッド名 Logger での ASA/FTD のトレースバックとリロード |
|
|
snmp/snmp_config_utils.c で Rip Netsnmp_config_req_dequeue_and_send+269 を使用すると、SNMP で FTD がクラッシュすることがある |
|
|
フローオフロードが有効になっている場合、TCP ファイル転送(ビッグファイル)が正しく閉じない |
|
|
strncpy NULL 文字列が SSL ライブラリから渡されている間の ASA syslog トレースバック |
|
|
スレッド名 ci/console での ASA のトレースバックとリロード |
|
|
Cisco ASA および FTD ソフトウェアの SIP で確認されたサービス拒否攻撃に対する脆弱性 |
|
|
EAP を使用した IKEv2 で、MOBIKE ステータスが処理されない |
|
|
QP を v9.14.1.109 にアップグレード中に SNMP プロセスがクラッシュした |
|
|
ASA/FTD が SNMP のメモリ破損によりトレースバックおよびリロードすることがある |
|
|
ディレクタ/バックアップフローは残され、このフローに関連するトラフィックがブラックホール化される |
|
|
9.12(4)4 以降にアップグレード後の ASASM トレースバックおよびリロード |
|
|
TACACS+ ASCII パスワード変更要求が正しく処理されない |
|
|
デバイスがハング状態になるまで 600/秒のレートで VPN syslog が生成される |
|
|
リブート時に AZURE ASA/FTD NIC MAC アドレスが並べ替えられることがある |
|
|
FPR2110 上の 9.10.1.11 ASA がランダムにトレースバックおよびリロードする |
|
|
PBR 設定変更時の ASA/FTD トレースバックとリロード |
|
|
ASA:非 DNS トラフィックを DNS 検査エンジンにリダイレクトする「class-default」クラスマップ |
|
|
リロード時の ASAv SNMP トレースバック |
|
|
SNMP および管理アクセス設定に関連する ASA/FTD トレースバックおよびリロード |
|
|
一部の FPR プラットフォームのインバウンドトラフィックの IPSec トランスポート モード トラフィックの破損 |
|
|
ASA を 9.13(1)13 にアップグレードすると、DAP が動作しなくなる |
|
|
プロセス名「Lina」で ASA/FTD がトレースバックおよびリロードする |
|
|
IPv4 デフォルトトンネルルートが拒否される |
|
|
FPR 4K:手動フェールオーバー後に新しいアクティブ ASA から SSL トラストポイントが削除される |
|
|
ASA:IPv6 DACL 障害により、AnyConnect セッションを再開できない |
|
|
Cisco ASA と FTD ソフトウェアの Web サービスバッファオーバーフローによるサービス拒否の脆弱性 |
|
|
ASA が複数のクエリパラメータを含む SAML アサーションで HTTP POST を処理できない |
|
|
FPR4120:cli_xmlserver_thread の Lina ウォッチドッグ トレースバック |
|
|
Cisco ASA および FTD Web サービスインターフェイスで確認されたクロスサイト スクリプティングの脆弱性 |
|
|
ASA5506 上の M500IT モデルのソリッドステートドライブが 3 年 2 ヵ月のサービス期間後に応答しなくなることがある |
|
|
FPR-4150:スレッド名 DATAPATH での ASA トレースバックおよびリロード |
|
|
タイプ dynamic-split-exclude-domains の AnyConnect カスタム属性の名前がリロード後に変更される |
|
|
FTD BVI アドレスから直接接続された IP への接続の問題 |
|
|
ASA:ランダムな L2TP ユーザが古い ACL フィルタエントリが原因でリソースにアクセスできない |
|
|
IKev 2 Daemon スレッドでの ASA トレースバックおよびリロード |
|
|
IKE デーモンでの ASA トレースバックおよびリロード |
|
|
ASA:OpenSSL の脆弱性 CVE-2020-1971 |
|
|
ACL に関する「設定セッション」の変更時に ASA トレースバックが発生する。 |
|
|
バージョン 9.14.1.30 以降で BVI HTTP/SSH アクセスが機能しない |
|
|
ACL の変更時に FTD ファイアウォールがトレースバックおよびリロードすることがある |
|
|
ホスト名が 30 文字を超えると、FTD の管理対象デバイスのバックアップが失敗する |
|
|
スレッド名 snmp_alarm_thread での ASA トレースバックおよびリロード |
|
|
ASA トレースバックとリロードの WebVPN スレッド |
|
|
証明書の変更中に ASA/FTD がトレースバックおよびリロードすることがある。 |
|
|
Cisco ASA および FP 1000/2100 シリーズ コマンド インジェクションの FTD ソフトウェアの脆弱性 |
|
|
キャプチャが削除されたときに ASA がトレースバックを実行し、スレッド名:ssh でリロードされる |
|
|
ASA: Remote Access VPN が有効な場合、emweb/https でトレースバックを実行し、リロードされる |
|
|
inspect_h323_ras+1810 のトレースバック |
|
|
ASA:CoA で dACL が提供されない場合、VPN トラフィックが渡されない |
|
|
ASA:CoA 後の v6 トラフィックに IPv6 エントリのない dACL が適用されない |
|
|
ASAv:9.14 へのアップグレード後に使用されたメモリ値の SNMP 結果が正しくない |
|
|
Firepower 2100 で設定の同期中にハートビートエラーが発生し、AppAgent が登録解除される |
|
|
スレッド名のトレースバック:Lic TMR |
|
|
アイデンティティ NAT トラフィックおよびクラスタリング環境では、オフロード書き換えデータを修正する必要がある |
|
|
SGT 名が未解決のまま ACE で使用されている場合、回線が無視または非アクティブ状態にならない |
|
|
ASA のリロードで「content-security-policy」設定が削除される |
|
|
Cisco ASA および FTD ソフトウェアのコマンドインジェクションの脆弱性 |
|
|
ASA が HA の設定同期中にロガースレッドでトレースバックを生成することがある |
|
|
6.6.1 へのアップグレード後に FPR 2100 の Fail-to-wire ポートがフラッピングする |
|
|
ASA:デフォルトの IPv6/IPv4 ルートトンネリングが機能しない |
|
|
ISA3000 上の M500IT モデルのソリッドステートドライブが 3 年 2 ヵ月のサービス期間後に応答しなくなることがある |
|
|
ASA トレースバック:失効した証明書でリロードがトリガーされる AnyConnect クライアントの CRL チェック |
|
|
スレッド Crypto CA で ASA がトレースバックおよびリロードする |
|
|
リモートエンドで TFC が有効になっている状態で Firepower 2110 がトラフィックをサイレントにドロップする |
|
|
スレッド名 PTHREAD-4432 で ASA/FTD トレースバックする |
|
|
ASA/FTD で DHCP プロキシオファーがドロップされる |
|
|
管理のコンテキストが変更されると、マルチコンテキスト ASA から connect fxos admin で FXOS にアクセスできない |
|
|
ASA がスレッド名「webvpn_task」でトレースバックおよびリロードすることがある |
|
|
FPR-2100-ASA:最新バージョンの ASA インターフェイスで ifType の SNMP ウォークに「other」が表示される |
|
|
FMC から送信されたオブジェクトループによる lina のトレースバックを防ぎます。代わりに展開を失敗させます。 |
|
|
ASA/FTD が SNMP ホストグループオブジェクトの変更後にトレースバックすることがある |
|
|
OCSP 応答データのクリーンアップ中のに ASA がトレースバックおよびリロードする |
|
|
X-Frame-Options ヘッダーが webvpn 応答ページで設定されていない |
|
|
「show crashinfo」による新しい出力ログの追加で ASA がトレースバックおよびリロードする |
|
|
handle_agentx_packet / snmp で SNMP にトレースバックすると、FP1k および 5508 での起動に時間がかかる |
|
|
FPR2100 シリーズのプロセス lina での FTD のトレースバックおよびリロード |
|
|
ASA:FIPS が有効な場合、PAC ファイルをインポートできない |
|
|
フローオフロードによる一括ルーティング更新後にファイアウォール CPU が増加することがある |
|
|
DHCP GIADDR フィールドの IP アドレスが DHCP DECLINE を DHCP サーバに送信した後に反転する |
|
|
フローオフロードを有効にした状態で大量のルートを更新すると、CPU のパフォーマンスが低下する |
|
|
SSL midpath での ASA 9.15.1.7 トレースバックおよびリロード |
|
|
FIPS 障害による ASA のリロード |
|
|
ACL 設定を同時に変更すると、「show running-config」の出力が完全に中断される |
|
|
FPR4150 ASA Standby Ready ユニットのループが失敗し、設定を削除してインストールし直す必要がある |
|
|
ASA EIGRP ルートがネイバーの切断後にスタックする |
|
|
FTD クラスタ物理インターフェイスは、fxos インターフェイスステートがアップであっても、インラインモードではアップしない。 |
|
|
スレッド名 Unicorn Proxy Thread で FTD/ASA がトレースバックする |
|
|
IE および Windows プラットフォームの古いバージョンの X-Frame-Options ヘッダーのサポート |
|
|
スレッド名 fover_health_monitoring_thread でのトレースバック |
|
|
トランスペアレント コンテキストの削除中の SNMP 通知スレッドでの ASA トレースバックとリロード |
|
|
ASP キャプチャの dispatch-queue-limit にパケットがないと表示される |
|
|
マルチキャストが有効な場合、FTD での展開が失敗する |
|
|
FTD 6.6.1/6.7.0 が SNMP Ifspeed OID (1.3.6.1.2.1.2.2.1.5)応答値 = 0 を送信している |
|
|
スマートトンネルコード署名証明書の更新 |
|
|
データトンネルが起動する前に COA を受信すると、親セッションが切断される |
|
|
スレッド名 CTM Daemon での ASA トレースバックおよびリロード |
|
|
ASA 内部デッドロックにより、機能(syslog、リロード、ASDM、anyconnect)が失われる |
|
|
スレッド名 SNMP ContextThread での ASA トレースバックおよびリロード |
|
|
asa_run_ttyS0 スクリプトによるスレッド名 pix_startup_thread での ASA/FTD トレースバックおよびリロード |
|
|
ifmibポーリングの最適化 |
|
|
システムイメージをフラッシュにコピーするときのスレッド ci/console での ASA トレースバックおよびリロード |
|
|
SSL ポリシーを使用したファイル転送またはファイルアップロードが低速で、復号化の再署名アクションが適用される |
エンドユーザライセンス契約書
エンドユーザライセンス契約書の詳細については、http://www.cisco.com/go/warranty [英語]にアクセスしてください。
関連資料
ASA の詳細については、『Navigating the Cisco ASA Series Documentation』を参照してください。
フィードバック