Secure Firewall ASA シリーズ 9.18 リリースノート
このドキュメントには、ASA ソフトウェアバージョン 9.18 のリリース情報が記載されています。
特記事項
-
9.18(2)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
9.18 以降からのダウングレードの問題:9.18 では動作が変更され、access-group コマンドがその access-list コマンドの前にリストされます。ダウングレードすると、access-group コマンドはまだ access-list コマンドをロードしていないため拒否されます。以前に forward-reference enable コマンドを有効にしていた場合でも、このコマンドは現在削除されているため同じ結果となります。ダウングレードする前にすべての access-group コマンドを手動でコピーし、ダウングレード後に再入力してください。
-
同じポートを使用した同じインターフェイスで HTTPS/ASDM(HTTPS 認証を使用)および SSL を有効にした場合の 9.18(1) アップグレードの問題:同じインターフェイス上で SSL([webvpn] > [インターフェイスの有効化(enable interface)])と HTTPS/ASDM(http )アクセスの両方を有効にした場合、https://ip_address から AnyConnect にアクセスでき、https://ip_address/admin から ASDM にアクセスできます。どちらもポート 443 を使用します。ただし、HTTPS 認証(aaa authentication http console)も有効にする場合は、9.18(1) 以降、ASDM アクセス用に別のポートを指定する必要があります。http コマンドを使用してアップグレードする前に、ポートを変更してください。(CSCvz92016)
-
インスタンスタイプ g5ne.4xLarge の ASA 仮想 における Alibaba Cloud パフォーマンスの低下:Alibaba Cloud のインスタンスタイプ g5ne.4xLarge の ASA 仮想 では、Alibaba インフラストラクチャの根本的な問題により、特に 1 秒あたりの接続数(CPS)についてパフォーマンスが低下します。回避策はありません。(CSCwb24458、CSCwb61168)
-
9.18(2.7) での Cisco Secure Firewall 3100 の動作変更:Cisco Secure Firewall 3100 の固定ポートで fec コマンドを使用して FEC を Auto に設定すると、25 GB SR、CSR、および LR トランシーバのデフォルトのタイプが cl74-fc ではなく cl108-rs に設定されるようになりました。(CSCwc75082)
システム要件
ASDM には、4 コア以上の CPU を搭載したコンピュータが必要です。コア数が少ないと、メモリ使用量が高くなる可能性があります。
ASA と ASDM の互換性
ASA/ASDM ソフトウェアおよびハードウェアの要件およびモジュールの互換性を含む互換性の詳細については、『Cisco Secure Firewall ASA Compatibility』を参照してください。
VPN の互換性
VPN の互換性については、『Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。
新機能
このセクションでは、各リリースの新機能を示します。
 (注) |
syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
ASA 9.18(4) の新機能
リリース:2023 年10 月 3 日
|
機能 |
説明 |
|---|---|
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
|
ASA の高可用性のための偽フェールオーバーの削減 |
ASA 高可用性のデータプレーンに追加のハートビートモジュールが導入されました。このハートビートモジュールは、コントロールプレーンのトラフィックの輻輳や CPU の過負荷が原因で発生する可能性のある、偽フェールオーバーやスプリットブレインシナリオを回避するのに役立ちます。 9.20(1) でも同様です。 |
|
インターフェイス機能 |
|
| FXOS local-mgtm show コマンドの改善 |
FXOS local-mgmt のインターフェイス show コマンドに関する追加項目は次のとおりです。
新規/変更された FXOS コマンド:show portmanager switch tail-drop-allocated buffers all 、show portmanager switch status 、show portmanager switch default-rule-drop-counter |
|
管理、モニタリング、およびトラブルシューティングの機能 |
|
|
show tech support の改善 |
次の項目に対して、show tech support への出力が追加されました。
新規/変更されたコマンド: show tech support |
ASA 9.18(3) の新機能
リリース日:2023 年 2 月 16 日
|
機能 |
説明 |
|---|---|
|
プラットフォーム機能 |
|
|
Firepower 1010E |
Firepower 1010E が導入されました。このモデルは、Power Over Ethernet ポートが搭載されていないことを除き Firepower 1010 と同じです。 7.19(1.90) または 7.18(2.1) での ASDM サポート。ASDM 7.19(1) ではこのモデルをサポートしていません。 9.18(2.218) でも同様。このモデルは 9.19(1) ではサポートされていません。 |
|
インターフェイス機能 |
|
|
Secure Firewall 3100 固定ポートのデフォルトの前方誤り訂正(FEC)が、25 GB+ SR、CSR、および LR トランシーバの cl74-fc から cl108-rs に変更されました |
Secure Firewall 3100 の固定ポートで FEC を Auto に設定すると、25 GB SR、CSR、および LR トランシーバのデフォルトのタイプが cl74-fc ではなく cl108-rs に設定されるようになりました。 新規/変更されたコマンド: fec 9.19(1) および 9.18(2.7) でも同様。 |
|
VPN 機能 |
|
|
SAML を使用した AnyConnect 接続認証 |
DNS ロードバランシングクラスタでは、SAML 認証を ASA で設定するときに、設定が適用されるデバイスに一意に解決されるローカルベース URL を指定できます。
新規/変更されたコマンド:local-base-urlurl |
ASA 9.18(2) の新機能
リリース日:2022 年 8 月 10 日
|
機能 |
説明 |
|---|---|
|
インターフェイス機能 |
|
|
BGP および管理トラフィックのループバックインターフェイスをサポート |
ループバック インターフェイスを追加して、次の機能に使用できるようになりました。
新規/変更されたコマンド:interface loopback 、logging host 、neighbor update-source 、snmp-server host 、ssh 、telnet |
|
ping コマンドの変更 |
ループバック インターフェイスの ping をサポートするために、ping コマンドの動作が変更されました。コマンドでインターフェイスを指定する場合、送信元 IP アドレスは指定されたインターフェイスの IP アドレスと一致しますが、実際の出力インターフェイスは、データルーティングテーブルを使用したルートルックアップによって決定されます。 新規/変更されたコマンド: ping |
ASA 9.18(1) の新機能
リリース日:2022 年 6 月 6 日
|
機能 |
説明 |
||
|---|---|---|---|
|
プラットフォーム機能 |
|||
| AWS GuardDuty の ASAv-AWS Security center integration | Amazon GuardDuty サービスを ASAv と統合できるようになりました。この統合ソリューションは、Amazon GuardDuty によって報告された脅威分析データや結果(悪意のある IP アドレス)をキャプチャして処理するのに役立ちます。ASAv で悪意のある IP アドレスを設定およびフィードし、基盤となるネットワークとアプリケーションを保護できます。 | ||
|
Alibaba の仮想展開 |
これで、Alibaba Cloud に Secure Firewall ASA Virtual を展開できます。サポートされる機能は次のとおりです。
|
||
|
ファイアウォール機能 |
|||
|
ACL とオブジェクトの前方参照は常に有効にです。さらに、アクセス制御のオブジェクトグループ検索がデフォルトで有効になりました。 |
アクセスグループまたはアクセスルールを設定するときに、まだ存在していない ACL またはネットワークオブジェクトを参照できます。 さらに、オブジェクトグループ検索が新規展開のアクセス制御に対してデフォルトで有効になりました。デバイスをアップグレードしても、引き続きこのコマンドは無効になります。有効にする場合(推奨)、手動で行う必要があります。
forward-reference enable コマンドを削除し、新規展開のデフォルト値を変更して object-group-search access-control を有効にしました。 |
||
|
ルーティング機能 |
|||
|
PBR のパスモニタリングメトリック。 |
PBR はメトリックを使用して、トラフィックを転送するための最適なパス(出力インターフェイス)を決定します。パスモニタリングは、メトリックが変更されたモニタリング対象インターフェースを PBR に定期的に通知します。PBR は、モニタリング対象インターフェイスの最新のメトリック値をパス モニタリング データベースから取得し、データパスを更新します。 新規/変更されたコマンド:clear path-monitoring 、policy-route 、show path-monitoring |
||
|
インターフェイス機能 |
|||
|
Cisco Secure Firewall 3100 のフロー制御に対応するためのフレームの一時停止 |
トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。 新規/変更されたコマンド: flowcontrol send on |
||
|
Secure Firewall 3130 および 3140 のブレークアウトポート |
Cisco Secure Firewall 3130 および 3140 の 40 GB インターフェースごとに 4 つの 10 GB ブレークアウトポートを構成できるようになりました。 新規/変更されたコマンド: breakout |
||
|
ライセンス機能 |
|||
|
キャリアライセンスの Secure Firewall 3100 サポート |
キャリアライセンスは、Diameter、GTP/GPRS、SCTP 検査を有効にします。 新規/変更されたコマンド: feature carrier |
||
|
証明書の機能 |
|||
|
相互l LDAPS 認証。 |
ASA が認証のために証明書を要求したときに LDAP サーバーに提示するように ASA のクライアント証明書を設定できます。この機能は、LDAP over SSL を使用する場合に適用されます。LDAP サーバーがピア証明書を要求するように設定されている場合、セキュア LDAP セッションが完了せず、認証/許可要求が失敗します。 新規/変更されたコマンド:ssl-client-certificate |
||
|
認証:証明書名または SAN の検証 |
機能固有の参照 ID が設定されている場合、ピア証明書 ID は、指定された一致基準 crypto ca reference-identity <name> コマンドで検証されます。ピア証明書のサブジェクト名または SAN に一致するものが見つからない場合、または reference-identity サブモードコマンドで指定された FQDN が解決されない場合、接続は終了します。 reference-identity CLI は、AAA サーバーホスト設定および ddns 設定のサブモードコマンドとして設定されます。 新規/変更されたコマンド:ldap-over-ssl 、ddns update method 、および show update method 。 |
||
|
管理、モニタリング、およびトラブルシューティングの機能 |
|||
|
複数の DNS サーバーグループ |
複数の DNS サーバーグループを使用できるようになりました。1 つのグループがデフォルトで、他のグループを特定のドメインに関連付けることができます。DNS サーバーグループに関連付けられたドメインに一致する DNS 要求は、そのグループを使用します。たとえば、内部の eng.cisco.com サーバー宛てのトラフィックで内部の DNS サーバーを使用する場合は、eng.cisco.com を内部の DNS グループにマッピングできます。ドメインマッピングと一致しないすべての DNS 要求は、関連付けられたドメインを持たないデフォルトの DNS サーバーグループを使用します。たとえば、DefaultDNS グループには、外部インターフェイスで使用可能なパブリック DNS サーバーを含めることができます。 新規/変更されたコマンド:dns-group-map 、dns-to-domain |
||
|
ダイナミックログインのレート制限 |
ブロック使用量が指定されたしきい値を超えたときにロギングレートを制限する新しいオプションが追加されました。ブロックの使用量が通常の値に戻るとレート制限が無効になるため、ロギングレートが動的に制限されます。 新規/変更されたコマンド: logging rate-limit |
||
|
Secure Firewall 3100 デバイスのパケットキャプチャ |
スイッチパケットをキャプチャするプロビジョニングが追加されました。このオプションは、Secure Firewall 3100 デバイスに対してのみ有効にできます。 新規/変更されたコマンド: capture real-time |
||
|
VPN 機能 |
|||
|
IPsec フローがオフロードされます。 |
Cisco Secure Firewall 3100 では、IPsec フローはデフォルトでオフロードされます。IPsec サイト間 VPN またはリモートアクセス VPN セキュリティ アソシエーション (SA) の初期設定後、IPsec 接続はデバイスのフィールド プログラマブル ゲート アレイ (FPGA) にオフロードされるため、デバイスのパフォーマンスが向上します。 新規/変更されたコマンド:clear flow-offload-ipsec 、flow-offload-ipsec 、show flow-offload-ipsec |
||
|
認証用の証明書と SAML |
証明書および SAML 認証用にリモートアクセス VPN 接続プロファイルを設定できます。ユーザーは、SAML 認証/承認が開始される前に、マシン証明書やユーザー証明書を認証するように VPN を設定できます。これは、ユーザー固有の SAML DAP 属性と DAP 証明書属性を使用して実行できます。 新規/変更されたコマンド:authentication saml certificate 、authentication certificate saml 、authentication multiple-certificate saml |
||
ソフトウェアのアップグレード
このセクションには、アップグレードを完了するためのアップグレードパス情報とリンクが記載されています。
ASA のアップグレードパス
現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。
-
ASDM: の順に選択します。
-
CLI:show version コマンドを使用します。
次の表に、ASA のアップグレードパスを示します。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要な場合があります。推奨バージョンは太字で示されています。
(注) |
開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。 |
(注) |
(注) |
ASA 9.16 は ASA 5506-X、5508-X、および 5516-X の最終バージョンです。 ASA 9.14 は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。 ASA 9.12 は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、 ASA 9.2 は ASA 5505 の最終バージョンです。 ASA 9.1 は ASA 5510、5520、5540、5550、および 5580 の最終バージョンです。 |
|
現在のバージョン |
暫定アップグレードバージョン |
ターゲットバージョン |
|---|---|---|
|
9.17 |
— |
次のいずれかになります。 → 9.18 |
|
9.16 |
— |
次のいずれかになります。 → 9.18 → 9.17 |
|
9.15 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 |
|
9.14 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 |
|
9.13 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 |
|
9.12 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 |
|
9.10 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 |
|
9.9 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 |
|
9.8 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 |
|
9.7 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.6 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.5 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.4 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.3 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.2 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 → 9.8 |
|
9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4) |
— |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.1(7.4) |
|
9.1(1) |
→ 9.1(2) |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.1(7.4) |
|
9.0(2)、9.0(3)、または 9.0(4) |
— |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.6 → 9.1(7.4) |
|
9.0(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.1(7.4) |
|
8.6(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.14 → 9.12 → 9.8 → 9.1(7.4) |
|
8.5(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.12 → 9.8 → 9.1(7.4) |
|
8.4(5+) |
— |
次のいずれかになります。 → 9.12 → 9.8 → 9.1(7.4) → 9.0(4) |
|
8.4(1) ~ 8.4(4) |
→ 9.0(4) |
→ 9.12 → 9.8 → 9.1(7.4) |
|
8.3 |
→ 9.0(4) |
次のいずれかになります。 → 9.12 → 9.8 → 9.1(7.4) |
|
8.2 以前 |
→ 9.0(4) |
次のいずれかになります。 → 9.12 → 9.8 → 9.1(7.4) |
アップグレードリンク
アップグレードを完了するには、『ASA アップグレード ガイド』を参照してください。
未解決のバグおよび解決されたバグ
このリリースで未解決のバグおよび解決済みのバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。
(注) |
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントがない場合は、アカウントを登録できます。シスコサポート契約がない場合は、ID でのみバグを探すことができます。検索は実行できません。 |
Cisco Bug Search Tool の詳細については、Bug Search Tool(BST)ヘルプおよび FAQ を参照してください。
バージョン 9.18(x) で未解決のバグ
次の表に、このリリースノートの発行時点で未解決のバグを示します。
|
ID |
見出し |
|---|---|
|
ASA|FTD:空きバッファの破損によるトレースバックとリロード |
|
|
KP-HA で ACP の展開に失敗する |
|
|
7.2.4-114 の KP ドライバコードで Snort3 がクラッシュする |
|
|
スレッド名 PTHREAD-1549 での ASAv VMware のトレースバックとリロード |
|
|
access-list:異なるタイプのアクセスリストを混在させることができない。 |
|
|
証明書の検証に失敗した後に Umbrella の登録が成功する |
|
|
「show service policy」で現在の接続数が負になる - conn limit exceeded |
|
|
スレッド名 PIM IPv4 での FTD トレースバック |
|
|
強力な暗号化ライセンスが HA の ASA ファイアウォールに適用されない。 |
|
|
ASA/FTD がスレッド名「dns_cache_time」でトレースバックし、リロードすることがある |
|
|
FTD:Mate version 0.0 is not compatible でフェールオーバー/ハイアベイラビリティが無効になる |
|
|
ASA コード 9.18(3)53 で FP4110 が直接原因なしでクラッシュする |
|
|
ASA が「warmstart」SNMP トラップを送信しない |
|
|
プライマリ装置がスタンバイではなくアクティブになる。プライマリシャーシのリロード後に問題が発生する。 |
|
|
ENH:Anyconnect VPN SAML 認証が失敗したときに警告が発せられる |
|
|
ASA:(acl-drop) Flow is denied by implicit rule で SSH がASA デバイスで拒否される |
|
|
LINA show tech-support が sf_troubleshoot.pl(トラブルシューティング ファイル)の一部として生成されない |
|
|
CLI でロギングタイムスタンプを有効にした後に、ASDM がログのタイムスタンプを認識できない |
|
|
ASA/FTD:プロセス名 lina でのトレースバック |
|
|
ASA:CLI を使用して設定を復元する際のトレースバックとリロード |
|
|
トランスペアレントモードの ASA が、すべてのノードに等しい IPv6 ルータアドバタイズメントパケットを送信しない |
|
|
セカンダリが IPv6 を使用して内部でフェールオーバー通信を失ったが、内部の次のテストに合格する |
|
|
ASA|FTD:スレッド名 update_mem_reference でのトレースバックとリロード。 |
|
|
ASA/FTD:誤った計算が原因でトレースバックが発生し、負の転送バイト数が memcpy 機能に渡される |
|
|
ASA:クラスタを介した多数の NAT プール解放メッセージの送信中のトレースバック |
解決済みのバグ
このセクションでは、リリースごとに解決済みのバグを一覧表で示します。
バージョン 9.18(4) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
QoS ポリシー展開時のスレッド名 cli_xml_server での FTD トレースバック |
|
|
FTD - フローオフロードはレート制限機能(QoS)と共存できる必要がある |
|
|
CP への ARP スロットリング欠如のミス表示により、オーバーサブスクリプションになる |
|
|
MIB 用の IKEv2/SNMP/Session-mgr のセッションインデックス処理をクリーンアップする |
|
|
DNS ルックアップでプライマリで HA フェールオーバーを実行すると、プライマリノードが VPN クラスタから切断される |
|
|
プロセス Lina で ASA/FTD がトレースバックおよびリロードすることがある |
|
|
ASA/FTD がプロセス名 lina でトレースバックおよびリロードする |
|
|
ASAv:9344 ジャンボフレームを有効にした後にブロックが自動的に作成されず、OSPF MD5 が壊れる |
|
|
発信インターフェイスリストが Null の場合、その他のドロップではなく MFIB RPF 失敗カウンタが増加する |
|
|
ASA:管理コンテキストによって生成されるすべてのログのタイムスタンプが同じである |
|
|
FTPS が ssl3_get_record を取得:KK および DR ルール接続中の不正なレコードの種類 |
|
|
NAT-T が有効なピンホール接続を備えた vti ハブがループし、snort ビジードロップを引き起こしている |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASAv 「ライセンス情報を取得できません。後でもう一度お試しください(Unable to retrieve license info. Please try again later)」 |
|
|
内部データ「no buffer」インターフェイスカウンタをポーリングするための FXOS ASA/FTD の SNMP OID |
|
|
logging/syslog は、SNMP トラップとログ履歴の影響を受ける |
|
|
ASA:ASDM セッションが CLOSE_WAIT でスタックし、その結果 MGMT が不足する |
|
|
TCM がオフのとき、ユニットがクラスタに参加するときの ASA/FTD tmatch コンパイルチェック |
|
|
外部ブラウザとラウンドロビン DNS を使用した AnyConnect SAML が断続的に失敗する |
|
|
ASA/FTD がポリシー展開後にスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
EIGRPv6 - LINA で「mem_lock:アサーション mem_refcount' が失敗しました(mem_lock: Assertion mem_refcount' failed)」でクラッシュした |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
DHCP リレーが DHCP オファーパケットをループバックしているため、FTD/ASA で dhcprelay が失敗する |
|
|
FP1000:LINA モードでの起動プロセス中に、インターフェイス間のブロードキャストがリークし、ストームが発生する |
|
|
ASA/FTD がスレッド名 fover_fail_check でトレースバックおよびリロードする |
|
|
ASA/FTD:コマンド「no snmp-server enable oid mempool」がデフォルトで有効になっているか、アップグレード時に強制される |
|
|
fxos ログローテーションでファイルの循環に失敗し、ファイルサイズが大きくなる |
|
|
ASA/FTD:スレッド名 appAgent_reply_processor_thread でトレースバックおよびリロードする |
|
|
AWS:Geneve トンネルインターフェイスで SSL 復号が失敗する |
|
|
FTD Lina がスレッド名「IP Init Thread」でトレースバックおよびリロードする |
|
|
QP HA アクティブノードで EMIX トラフィックプロファイルを実行している間のメモリの枯渇である |
|
|
ASA/FTD:アップグレード中の SNMP グループ設定によりトレースバックおよびリロードする |
|
|
DCD が有効になっている場合に ASA 接続がアイドル状態でスタックする |
|
|
属性値が大きすぎることによる、DAP ルールとの AC クライアントの一致の失敗 |
|
|
サポートのための Lina の変更 - FQDN ベースのトラフィックを処理する際に、Snort3 が daq-pdts でトレースバックする |
|
|
ASA|FTD:RFC 推奨事項に基づいて異なる TLS diffie-hellman 素数を導入する |
|
|
QEMU KVM コンソールが [カーネルを起動中(Booting the kernel)] ページでスタックする |
|
|
セカンダリユニットのポートチャネル インターフェイスは、リロード後に待機状態になる |
|
|
ASA/FTD が idfw fqdn ハッシュルックアップでトレースバックおよびリロードすることがある |
|
|
HA が設定された ASA は、複数の入出力エラーメッセージでトレースバックおよびリロードすることがある |
|
|
peer_proxy_tx_q の 9344 ブロック枯渇による FTD トラフィック障害 |
|
|
LINA がスレッド名 update_cpu_usage 下の FPR-1010 でトレースバックする |
|
|
Microsoft SCEP 登録で ASA ID 証明書の取得に失敗する - PKCS7 を確認できない |
|
|
ASA/FTD がスレッド名「telnet/ci」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
フローオフロードが使用されていない場合に、いくつかの devcmd 障害と checkheaps トレースバックが発生する。 |
|
|
webvpn ユーザーが 36k 要素で DAP アクセスリストに一致する場合、トレースバックおよびリロードする |
|
|
ASA/FTD:Netflow タイマーインフラでのトレースバックとリロード |
|
|
カットスループロキシが HTTPS トラフィックで機能しない |
|
|
syslog のロギングメカニズムの強化 |
|
|
ASA/FTD NAT プールクラスタの割り当てとユニット間の予約の不一致である |
|
|
リロード後に Stratix5950 および ISA3000 LACP チャネルメンバー SFP ポートが一時停止になる |
|
|
ASA/FTD が logging_cfg 処理でトレースバックおよびリロードすることがある |
|
|
クライアントレス VPN ユーザーが、WebVPN ポータルから大きなファイルをダウンロードできない |
|
|
ASA が別の認証および承認サーバーを使用している場合、Anyconnect ユーザーが接続できない |
|
|
セカンダリの再起動時のプライマリ ASA のトレースバックである |
|
|
ASA/FTD がトレースバックおよびリロードする、スレッド名:rtcli async executor process |
|
|
起動時に FPR1010 で数秒間リンクアップが見られる |
|
|
FTD:FPR3100 で WebVPN キープアウトまたは証明書マップを設定できない |
|
|
バックアップの実行時に ASA が予期せずリロードされる |
|
|
ASA/FTD:外部 IDP SAML 認証が「Bad Request」というメッセージで失敗する |
|
|
クラスタの参加に失敗すると、ライセンスコマンドがクラスタデータユニットで失われる |
|
|
PAT プールの展開中の FTD トレースバックとリロード |
|
|
「logging history <mode>」でレート制限を指定する必要がある |
|
|
tmatch コンパイルプロセス中に FTD/ASA がトレースバックおよびリロードする |
|
|
FTD トレースバック/リロード - Icmp エラーパケット処理に snp_nat_xlate_identity が含まれる |
|
|
FPR1K/FPR2K:サブインターフェイスの数が多いトランスペアレントモードでのフェールオーバー時間の増加 |
|
|
クラスタデータユニットが、ASP の理由「VPN reclassify failure」で非 VPN トラフィックをドロップする。 |
|
|
FPR1120:HA でのスイッチオーバー後に接続がティアダウンされる |
|
|
CRL チェックに失敗すると、トラストポイントの [なし(None)] オプションが機能しない |
|
|
ポリシー展開の NAT ステートメントの追加/削除/編集中に FTD がトレースバックおよびリロードする |
|
|
FTD が WSA からの GRE トラフィックをドロップする |
|
|
設定が欠落している認証方式として LDAP を使用した ASA バインディングである |
|
|
ASA:SNMP パケットの処理中にトレースバックおよびリロードする |
|
|
SSL ハンドルのリークによる高 Lina メモリ使用量である |
|
|
multimode-tmatch_df_hijack_walk トレースバックが、FO に接続したスイッチインターフェイスでのシャットダウン/シャットダウン解除中に観測される |
|
|
FTD - メモリ割り当てに不適切な値を提供する「show memory top-usage」である |
|
|
FTD:宛先に到達可能になっても IPSLA プリエンプションが機能しない |
|
|
キャプチャ設定の削除中のスタンバイユニットの ASA/FTD トレースバックとリロードである |
|
|
[FTD Multi-Instance][SNMP] - CPU OID が、関連する CPU の不完全なリストを返す |
|
|
ASA/FTD がスレッド名「CTM Daemon」でトレースバックおよびリロードすることがある |
|
|
ASA5516 の FTD でジャンボフレームが有効になっている場合、256 バイトのメモリブロックが開始時に枯渇する |
|
|
UDP タイムアウトが期限切れになるまで、ASP ドロップ理由 no-mcast-intrf により、ASA/FTD がマルチキャストパケットをドロップすることがある |
|
|
マルチキャスト接続の確立またはティアダウン syslog メッセージが生成されない場合がある |
|
|
NTP ポーリング頻度を 5 分から 1 秒に変更すると、役に立たない大きなログファイルが生成される |
|
|
ASA/FTD:snmp-server が設定されていない場合の SNMP 関連のメモリリーク動作 |
|
|
スレッド名 asacli/0 を示す ASA トレースバックとリロード |
|
|
フェールオーバー スイッチオーバー後に FTD が OSPF 隣接関係を形成するのに想定以上に時間がかかる |
|
|
VPN トンネルの作成時に「すべてのカウンタをクリア(clear counters all)」を実行した後、ASA/FTD がトレースバックおよびリロードすることがある |
|
|
icmp_thread での LINA トレースバック |
|
|
作成されたコンテキストを削除すると、コマンド「app-agent heartbeat」が削除される |
|
|
CLUSTER:フロー所有者からの CLU 追加フロー要求よりも前に、ICMP 応答がディレクタに到着する |
|
|
FTD MI が BVI に接続された VLAN 上の PVID を調整しない |
|
|
ASA/FTD が lua_getinfo のスレッド名「None」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD Show chunkstat top コマンドの実装である |
|
|
cf_reinject_hide フラグが原因で、ASA/FTD が関数「snp_fp_l2_capture_internal」でトレースバックすることがある |
|
|
ASA/FTD:多数の(サブ)インターフェイスと HTTP サーバーが有効になっていると、フェールオーバーの遅延が大きくなる |
|
|
共有管理インターフェイスを使用して、管理者およびユーザーコンテキストでスタンバイユニットからゲートウェイに到達できない |
|
|
スタンバイユニットで複数のトレースバックが観察される。 |
|
|
ピアからの削除がない場合、同時 IKE SA 処理中に古い IKEv2 SA が形成される |
|
|
データインターフェイスを管理として使用して 7.2.3 ベータ版をアップグレードした後、FDM WM-HA ssh が機能しない |
|
|
ASA:FTD アクセス コントロール ポリシー展開中の高い CPU 使用率によってトリガーされる FP2100 FTW タイムアウトである |
|
|
FTD インターフェイスで BVI を削除すると、他の BVI でパケットドロップが発生する |
|
|
FP2100:再帰的なメッセージ -<date>.1.gz rotated filenames を回避するために LINA asa.log ファイルを更新する |
|
|
Syslog ASA-6-611101 が 1 つの SSH 接続に対して 2 回生成される |
|
|
management-access が有効になっているために 7.0 から 7.2.x 以降への FTD アップグレードがクラッシュする |
|
|
有効な隣接関係がないためにフローティング接続がデフォルト値でない場合、ASA/FTD は BVI へのトラフィックをドロップする |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
OpenSSL の脆弱性の ASA 評価 CVE-2022-0778 |
|
|
tx chksum-offload が有効になっている場合、SSL 復号された接続が egress interface a pppoe で失敗する。 |
|
|
FPR2140 の FTD:TCP 正規化による Lina のトレースバックとリロード |
|
|
logging history が有効になっている場合、ASA/FTD でメモリリークが発生する |
|
|
ASA/FTD:クラスタイベントメッセージ「正常性チェックで左側のクラスタを制御していることが検出されました(Health check detected that control left cluster)」の改訂 |
|
|
FTD:VRF ルーティングに依存する接続で「timeout floating-conn」が期待どおりに動作しない |
|
|
p3_tree_lookup のウォッチドッグタイムアウトを指すトレースバックが原因で ASA/FTD がリブートする |
|
|
スレッド名「NetSnmp Event mib process」での FTD トレースバックとリロード |
|
|
FTD がデフォルトゲートウェイを使用して RP に到達している場合、リロード後に PIM 登録パケットが RP に送信されない |
|
|
ASA マルチコンテキストの「management-only」インターフェイス属性が作成中に同期されない |
|
|
複数のセッションが開かれている場合、新しい context サブコマンドが HA スタンバイで複製されない。 |
|
|
Umbrella DNS コネクタ設定を削除しようとすると、ポリシー展開が失敗する |
|
|
snp_tracer_format_route での ASA/FTD トレースバックである |
|
|
tcp インターセプト統計により、ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA/FTD:クラスタ内のフローオフロード状態が同じであることを確認する |
|
|
リロード時に Cisco ASA および FTD ACL がインストールされない |
|
|
ASA/FTD がトレースバックおよびリロードすることがある |
|
|
ASA:サポートされていないプラットフォームで SFR モジュール設定を防止する |
|
|
作成されたコンテキストを削除すると、コマンド「neighbor xxxx ha-mode graceful-restart」が削除された |
|
|
SNMP ポーリング レートが非常に高い場合、FP2100 シリーズ デバイスが過剰なメモリを使用することがある |
|
|
KP がデコードできない無効なコアファイルを生成する 7.2.4-64 |
|
|
ASA:ACL DAP の同期中にスタンバイデバイスがトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
SIP IPv6 パケットの最後のフラグメントの MF は 1 であり、より多くのパケットが予想されることを示している |
|
|
isakmp キャプチャを削除するときに、ASA/FTD がトレースバックおよびリロードする |
|
|
フェールオーバーの fover_trace.log ファイルがフラッディングし、すぐに上書きされる |
|
|
異なる「相手装置動作モード」が誤って認識されたため、フェールオーバーが複数回無効になる可能性がある。 |
|
|
接続がスタンバイ FTD に複製されない |
|
|
Thead 名 CP Processing での FTD 3100 のクラッシュ |
|
|
ASA/FTD がスレッド名「DATAPATH-3-21853」でトレースバックおよびリロードする場合がある |
|
|
クロスインターフェイスアクセス:VPN を介した管理アクセスインターフェイスへの ICMP ping が機能しない |
|
|
ASA/FTD がスレッド名「DATAPATH-1-1656」でトレースバックおよびリロードすることがある |
|
|
AnyConnect - hostscan が有効な場合、モバイルデバイスは接続できない |
|
|
ASA/FTD:カスタム VRF を使用すると、from-the-box ping が失敗する |
|
|
ASA/FTD がスレッド名「pix_flash_config_thread」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA:「management-only」の解析でスタンバイ障害がパーサー/フェールオーバーサブシステムに報告されない |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
SIP インスペクションが有効になっていると、スレッド DATAPATH-14-11344 で ASA/FTD がトレースバックし、リロードする |
|
|
スレッド名 cli_xml_server in tm_job_add を示す ASA/FTD のトレースバックとリロード |
|
|
プロセス名 cli_xml_request_process での ASA のトレースバックとリロード |
|
|
証明書のサブジェクト DN からのシリアル番号属性をユーザー名として使用する必要がある |
|
|
証明書からのユーザー名(Username-from-certificate)機能は、電子メール属性を抽出できない |
|
|
ASA:動的設定変更の「management-only」の解析時にスタンバイ障害が発生する |
|
|
ha_msg の破損による解析スレッドでの ASA のトレースバックとリロード |
|
|
ngfwManager プロセスが継続的に再起動し、ZMQ Out of Memory のトレースバックが発生する |
|
|
threat-detection がプレフィックス付き IPv6 の例外オブジェクトを認識しない |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
threat-detectionで個々の IPv6 エントリをクリアできない |
|
|
複数の DHCP サーバーが設定されている場合、FTD DHCP リレーが NACK をドロップする |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA/FTD:6.6.5 から 7.0.1 へのアップグレード直後の SNMP 関連のトレースバックとリロード |
|
|
ASA:CLU RX/TX キューでの大量のアンダーラン/オーバーランに対する設定可能な CLU |
|
|
VPN トラフィックの実行中にヒットレスアップグレードを実行すると、ASA のトレースバックとリロードが観察される |
|
|
tcpmod_proxy_continue_bp プロセスでのスレッドデータパスのトレースバックとリロード |
|
|
asa log infraでファイル固有のロギングを一時停止/再開するノブを追加。 |
|
|
一方のスポークで IPSec フローがオフロードされ、もう一方でオフロードされていない場合、FTD/ASA ハブアンドスポーク(U ターン)VPN が失敗する |
|
|
9.18.2 以降、TCP ping が全く機能しない |
|
|
ASA/FTD がスレッド名「ci/console」でトレースバックし、リロードすることがある |
|
|
ASA:「Ping<ifc_name> xxxx」が 9.18.x 以降、期待どおりに機能しない |
|
|
FP1000 シリーズで実行されている FTD が、「Client Hello」メッセージの後の TLS フローのパケットをドロップすることがある。 |
|
|
ASA で SNMP PDU および SNMP VAR チャンクが不足している |
|
|
フラグメント化されたパケットによる Lina のトレースバックとリロード |
|
|
FTD:7.3.0 を実行している ZMQ でのトレースバック |
|
|
ASA が user-agent と host なしで OCSP 要求を送信する |
|
|
ASA:9.16.4 へのアップグレード後、最初のリブート時にすべてのタイプ 8 パスワードが失われる |
|
|
FTDv:dpdk プールの枯渇と rx_buff_alloc_failure による VMware 展開でのトラフィック障害 |
|
|
プロセス名 Lina を示す ASA のトレースバックとリロード |
|
|
Nat/Pat に関連する、プロセス名 lina での ASA のトレースバックとリロード |
|
|
TCP ノーマライザには、パケットドロップなどのアクションを示す統計が必要 |
|
|
大量の認証プロファイルを送信するユーザーに対して SSL を介した LDAP 認証が機能しない |
|
|
非常に限定的な「vpn-idle-timeout」値により、SSL セッションの切断と再接続が継続的に発生する。 |
|
|
Hyper-V の ASAv が管理インターフェイスでパケットをドロップする |
|
|
ASDM が、バックアップ復元時にクラス インスペクション オプションでカスタムの policy-map をデフォルトマップに置き換える。 |
|
|
ASA/FTD がスレッド名「19」でトレースバックし、リロードすることがある(空きブロックチェックサムエラー) |
|
|
ASA がスレッド名「DHCPv6 Relay」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD:SNMP およびインターフェイスの変更中の、スレッド名 snmp_master_callback_thread でのトレースバック |
|
|
ASA packet-tracer が常に最初の ACL ルールを表示するが、正しい ACL と一致する |
|
|
パススルーデバイスとして GRE TUNNEL および FTD を介した MD5 認証を使用すると、BGP を確立できない |
|
|
FP2130:ポートチャネルのメンバーの関連付けを解除できず、展開に失敗し、FTD/FMC でメンバーが失われる |
|
|
ASA/FTD:SIP-SDP ヘッダーの接続情報が、destination static Anyで変換されないままになる |
|
|
FTD がエラー「IPv4 宛先の実際のオブジェクトアドレス範囲が広すぎます(IPv4 dst real obj address range is huge)」で NAT ルールの作成に失敗することがある |
|
|
emblem が設定され、 buffer logging が debug に設定されている場合に一貫性のないログメッセージが表示される |
|
|
マルチコンテキストの ASA で、MIO HB のリカバリ後でもスタンバイデバイスが失敗状態で表示される。 |
|
|
validation-usage ssl-server を使用しない場合、ASA と Umbrella の統合が機能しない。 |
|
|
スレッド名 **CP Crypto Result Processing** での ASA トレースバックとリロード |
|
|
グローバル VRF またはユーザー VRF 間のルーティング時にファイアウォールがパケットをドロップすることがある |
|
|
アップグレード後に ASA access-list エントリのハッシュが同じになる |
|
|
[IMS_7_4_0] - 仮想 FDM のアップグレードが失敗する:UpgradeOnStandby 実行後に HA configStatus='OUT_OF_SYNC となる |
|
|
FTD:GRE トラフィックが CPU コア間で負荷分散される |
|
|
ASA:ASA で ACL を更新中にトレースバックとリロードが発生する |
|
|
TLS サーバーのアイデンティティプローブのタイムアウトが長すぎると、トラフィックが影響を受ける可能性がある |
|
|
証明書グループマップが設定されている場合、AnyConnect Ikev2 ログインに失敗する |
|
|
ASAv:snmpwalk 実行中の ICMP ping パケットにより Azure 環境で高遅延が発生する |
|
|
プロセス名「Lina」を示す ASA/FTD のトレースバックが発生することがある |
|
|
クラスタ構成のセットアップで、スレッド名「ssh/client」でのトレースバックが発生する |
|
|
FTD クラスタのアップグレード中にスレッド名 cli_xml_request_process で Lina がクラッシュする |
|
|
Firepower での ipsec セッションの ECMP + NAT のサポートの要求 |
|
|
nat_remove_policy_from_np で 99.20.1.16 lina がクラッシュする |
|
|
priority-queue コマンドにより、すべてのポートチャネル インターフェイスでサイレント出力パケットがドロップされる |
|
|
廃止された暗号を使用した VPN ロードバランシング クラスタ暗号化 |
|
|
ASA/FTD:「show memory webvpn all objects」を発行する際のトレースバックとリロード |
|
|
DNS キャッシュエントリの枯渇によりトレースバックが発生する |
|
|
ASA SNMP ポーリングが機能せず、show コマンドで「Unable to honour this request now」と表示される |
|
|
重複検出後に形成された古い IKEv2 SA のクリアにかかる時間の短縮 |
|
|
スレッド名 DHCPRA Monitor での ASA トレースバックおよびリロード |
|
|
メモリヘッダー検証によるプロセス名 lina での ASA トレースバックとリロード |
|
|
KP2140-HA、リロードされたプライマリユニットがピアユニットを検出できない |
|
|
FTD/Lina:ローエンドプラットフォームでの Msglyr プールメモリの減少により ZMQ が OUT OF MEMORY を発行する。 |
|
|
9.16.4.19 へのアップグレード後に スレッド名 DATAPATH-53-18309 で ASA でトレースバックが発生する |
|
|
トランスペアレントモードの FTD で「show route all summary」を実行すると、CLISH の動作が遅くなる。 |
|
|
AWS GWLB の背後にある FTDv シングルアームプロキシが、geneve-invalid-udp-checksum が原因でドロップする |
|
|
フェールオーバー スイッチオーバー後に FTD が OSPF 隣接関係を形成するのに想定以上に時間がかかる |
|
|
リロード時に Cisco ASA および FTD ACL がインストールされない |
|
|
FTD Lina エンジンが、アサーションが原因でデータパスでトレースバックすることがある |
|
|
最大数に関するシステム制限ルールに達したときに意味のあるログを追加 |
|
|
HA の両方のデバイスが FMC にイベントを送信しないようにする |
|
|
NAT 障害により、FTD が WSA からの GRE トラフィックをドロップする |
|
|
リロード後にキー文字列がバックスラッシュ「\」で終わる場合、ASA は IKEv2 リモート PSK を削除する |
|
|
ASA アプライアンスモード - 「connect fxos [admin]」で「ERROR: failed to open connection」が返される。 |
|
|
ASA:クライアントレス WebVPN によるチェックヒープのトレースバックとリロード |
|
|
FTD:[有効(Enabled)] と表示される Firepower 3100 の動的フローオフロード |
|
|
ルートの同じプレフィックス/メトリックが別の VRF で設定されている場合、ポリシーの展開が失敗する。 |
|
|
ASA/FTD:NAT L7 インスペクションの書き換えによるトレースバックとリロード |
|
|
ASA:スレッド名「fover_FSM_thread」および「ha_ntfy_prog_process_timer」でのトレースバックとリロード |
|
|
EC521 の SHA384 を使用した ECDSA 自己署名証明書 |
|
|
両方の HA ユニットが同時にリロードされた後、「failover standby config-lock」設定が失われる |
|
|
OSPFv3 トラフィックがトランスペアレントモードで一元化される |
|
|
FMC:UDP ポート 6081 を使用した ACP ルールが後続の展開後に削除される |
|
|
トレースバック @<capture_file_show+605 at ../infrastructure/capture/capture_file_finesse.c:282> |
|
|
AWS 上の ASAv を 9.18.2 以降の任意のバージョンにアップグレードした後、Radius 認証が機能しない |
|
|
メモリヘッダー検証によるプロセス名 lina での ASA トレースバックとリロード- webvpn 側の修正 |
|
|
マルチコンテキスト セットアップで ASDM アプリケーションがランダムに終了または中断し、アラートメッセージが表示される |
|
|
OID.1.3.6.1.2.1.2.2 を使用した SNMP 応答のインターフェイス速度の不一致 |
|
|
FreeB および VPN 機能を使用した Lina プロセスでの ASA トレースバック |
|
|
FTDv/AWS:Lina と FTD クラスタ間の NTP クロックオフセット |
|
|
ASA/FTD が、スレッド名「RAND_DRBG_bytes」および n5 プラットフォーム上の CTM 機能でトレースバックおよびリロードすることがある |
|
|
キャプチャバッファサイズを変更すると、ASA/FTD が でトレースバックおよびリロードすることがある |
|
|
Cisco ASA および FTD ソフトウェアのリモートアクセス VPN の不正アクセスの脆弱性 |
|
|
リロード時にスタンバイで PAC キーファイルが欠落している |
|
|
インターフェイスがインラインモードの場合、アイドルタイムアウト後に接続がクリアされない。 |
|
|
特定の OID 1.3.6.1.2.1.25 が応答しない |
|
|
SNMPV3 設定の追加時に ASA/FTD がスレッド名「ssh」でトレースバックおよびリロードすることがある |
|
|
FTD:CPU コアによって NAT ルールが削除されたことによるトレースバックとリロード |
|
|
FTD が MAC アドレス 0000.000.000 で UDP500 パケットに応答する |
|
|
ASA/FTD:スタンドアロン ASA の「overlaps with inside standby interface address」NAT64 エラー |
|
|
Cisco ASA および FTD ソフトウェアのリモートアクセス VPN の不正アクセスの脆弱性 |
|
|
show inventory all の実行中に ASA/FTD がトレースバックおよびリロードすることがある |
バージョン 9.18(3) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
場合によっては、軽量プロキシへの移行が Do Not Decrypt フローで機能しない |
|
|
クラスタのキープアライブパケットに新しいブロックを割り当てている間に ASA でトレースバックとリロードが発生する |
|
|
FP2100:脅威検出統計を備えた ASA/FTD が、スレッド名「lina」でトレースバックおよびリロードすることがある |
|
|
「アクティブとスタンバイのインターフェイスの数が一致していません」という警告の syslog がトリガーされるはずである |
|
|
Cisco ASA ソフトウェアの SSL VPN クライアント側リクエストの、「/」URI を介したスマグリングの脆弱性 |
|
|
構成サイズが大きいため、スタンバイユニットがフェールオーバーの参加に失敗 |
|
|
LINA は、スレッド名「snmp_client_callback_thread」でトレースバックを観察した |
|
|
プライバシーアルゴリズムの AES192 または AES256 を使用した場合、SNMPv3 ポーリングが失敗することがある |
|
|
NLP への管理アクセスが有効になった後、NLP ルールのインストールの回避策が無効になる |
|
|
ASA フェールオーバーで、参加ノードを「スタンバイ準備完了」と宣言する前にコンテキストの不一致が検出されない |
|
|
電源再投入後に ISA3000 がブートループの状態になる |
|
|
ENH:拡張時またはストレス時のウォッチドッグを減らすために log_handler_file の遅延を削減 |
|
|
ASA/FTD データパススレッドがデッドロックに陥り、トレースバックを生成することがある |
|
|
ASA/FTD:VTI にルーティングされるパケットに DF ビットが設定されている |
|
|
Cisco ASDM および ASA ソフトウェアのクライアント側で任意のコードが実行される脆弱性 |
|
|
インバウンドパケットに SGT ヘッダーが含まれている場合、FPR2100 が 5 タプルごとに適切に配布できない |
|
|
ASA/FTD がプロセス名 lina でトレースバックおよびリロードする |
|
|
スレッド名:「Datapath」 での ASA トレースバックとリロード |
|
|
ASA/FTD がスレッド名「None」でトレースバックし、リロードすることがある |
|
|
インターフェイスの internal data0/0 は cli からは up/up になるが、SNMP ポーリングからは up/down になる |
|
|
FP2100 の FTD が、リブートプロセス中に HA アクティブユニットとして引き継ぐことができる |
|
|
CPU ホグの証拠がほとんどないにもかかわらず、内部データインターフェイスでのバッファドロップがない |
|
|
スタンバイ ASA が、9.16(3) へのアップグレード後、設定の複製中にブートループになる。 |
|
|
SSH クライアントからログインすると、パスワードのないユーザーがパスワードの変更を求められる |
|
|
FTDv クラスタユニットがクラスタに再参加せず、エラーメッセージ「NLP SSL リスニングソケットを開けませんでした」が表示される |
|
|
アップグレードまたはデバイスのリブート後の一時的な HA スプリットブレイン |
|
|
ASA/FTD がスレッド名「appAgent_subscribe_nd_thread」でトレースバックする |
|
|
FTD: 7.0.2 へのアップグレード後の SNMP エラー |
|
|
SFR が 6.7.0.3 にアップグレードされると、ASA のトレースバックが発生する |
|
|
../inspect/proxy.h:439 で FTD/ASA のトレースバックとリロードが発生する |
|
|
コマンド「show environment」で ASA/FTD 電圧情報が不足している |
|
|
空きメモリが 30% を超えているにもかかわらず、ASAv の CPU およびスタックメモリの割り当てエラーが高い |
|
|
スレッド ID 1637 で ASA/FTD のトレースバックとリロードが発生する |
|
|
ASA/FTD がスレッド名 Lina または Datatath でトレースバックおよびリロードする |
|
|
アップグレードとリロードの後の HA 同期中にトレースバックおよびリロードする。 |
|
|
Cisco ASA および FTD ソフトウェアの RSA 秘密キーリークの脆弱性 |
|
|
インラインセット インターフェイスの内部フロー処理によってフラグメント化された GRE トラフィックが原因で、9344 ブロックでリークが発生する |
|
|
プロセス名 Lina で ASA がトレースバックし、リロードする |
|
|
ASA:VTY セッションで SLA デバッグが表示されない |
|
|
クリアテキストトークンを使用した ASA プロセス(暗号化できない場合) |
|
|
オブジェクトサブネット 0.0.0.0 0.0.0.0 が使用されている場合、NAT64 はすべての IPv6 アドレスを 0.0.0.0/0 に変換する |
|
|
「slib_malloc.c でヒープ メモリが破損」した結果、ASA がトレースバックしリロードする |
|
|
アップグレード後に SSL AnyConnect アクセスがブロックされる |
|
|
SCH コードの実行中に ASA/FTD がトレースバックおよびリロードする場合がある |
|
|
Lina NetFlow から許可されたイベントが Stealthwatch に送信され、後で Snort によってブロックされる |
|
|
ASA:カットスループロキシが有効になっている場合の HTTPS トラフィック認証の問題 |
|
|
FTD:IPv4 <> IPv6 NAT 変換を実行するときのトレースバックとリロード |
|
|
ASA/FTD:9344 サイズのブロックリークを引き起こす GTP インスペクション |
|
|
ASA HA:プライマリの復元で、バックアップ後に行われた新しいインターフェイス設定が削除されない |
|
|
nopassword キーワードを持つユーザー名を使用した ssh の場合、ASA/FTD がトレースバックおよびリロードする |
|
|
ASA:「no monitor-interface service-module」コマンドがリロード後になくなる |
|
|
インバウンド IPSEC SA が非アクティブのままスタックする:「show crypto ipsec sa」の 1 つのアウトバウンド SPI に対して多数のインバウンド SPI がある |
|
|
フラグメントが結合されて PDTS に送信される場合、ASA/FTD 2100 プラットフォームがトレースバックおよびリロードする |
|
|
FTD:CCL リンク経由でリダイレクトされる UDP フローの NAT IPv4 <> IPv6 でのトレースバックとリロード |
|
|
MPLS タギングが FTD によって削除される |
|
|
FXOS ベースの Firepower プラットフォームで、RX リングウォーターマークの値が高いにもかかわらず、「バッファなし」ドロップを示す |
|
|
「any」およびグローバル IP/範囲がブロードキャスト IP に一致する NAT が原因で起こる ASA/FTD クラスタスプリットブレイン |
|
|
ASA パーサーが OSPF プロセスの下で不完全なネットワークステートメントを受け取り、show run に表示される |
|
|
FPR2140 でフェールオーバーに関する syslog が出力されない |
|
|
IKEv2キー の再生成:Create_Child_SA 応答の直後に受信した新しい SPI に対して無効な SPI を応答する |
|
|
ASA が IPSEC エラーでキーの再生成に失敗する: アウトバウンド ハードウェア コンテキストの割り当てに失敗する |
|
|
ASA/FTD OSPFv3 が IPv6 のメッセージタイプ 8 LSA を生成しない |
|
|
ASA/FTD がスレッド名「lina」IP ルーティング「ndbshr」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA HA フェールオーバーによって HTTP サーバーの再起動の失敗と ASDM の停止がトリガーされる |
|
|
ASA/FTD がスレッド名「lina_inotify_file_monitor_thread」でトレースバックおよびリロードすることがある |
|
|
FTD/ASA の「書き込みスタンバイ」により ECDSA 暗号が有効になり、AC SSLv3 ハンドシェイクが失敗する |
|
|
ASA/FTD が関数「snp_cluster_trans_allocb」でトレースバックおよびリロードする |
|
|
TACACS アカウンティングに、クライアントの誤った IPv6 アドレスが含まれる |
|
|
スタンバイデバイスの Call Home 設定がリロード後に失われる |
|
|
ASA/FTD がスレッド名「DATAPATH-11-32591」でトレースバックおよびリロードすることがある |
|
|
FTD:スレッド名 DATAPATH でのトレースバック |
|
|
FPR1120-ASA:リロード後にプライマリがアクティブロールになる |
|
|
ASA/FTD がスレッド名「DATAPATH-0-4948」でトレースバックおよびリロードすることがある |
|
|
起動後の ASA syslog の CGroups エラー |
|
|
展開中に、デバイスが構成要求の処理中にスタックする |
|
|
アクティブとスタンバイ間の「inspect snmp」設定が異なる |
|
|
ASA/FTD が SNMP プロセス障害によりトレースバックおよびリロードする |
|
|
インターフェイス NAT を備えた GCP クラスタで、データユニットのトラフィックが「LU allocate xlate failed」でドロップされる |
|
|
アクセスリストでオブジェクトグループを使用すると、ルート マップで「match ip address」を設定できない |
|
|
9.18.2 へのアップグレード後、ASA NAT ルールが期待どおりに機能しない |
|
|
FMC UI から長いキャプチャコマンドを適用した場合、FTD がトレースバックおよびリロードする |
|
|
ASA/FTD がスレッド名 IKE Daemon でトレースバックおよびリロードする |
|
|
DNS インスペクションポリシー変更後の Cisco Umbrella のヌルポインタが原因で ASA がトレースバックおよびリロードする |
|
|
内部データ「no buffer」インターフェイスカウンタをポーリングするための FXOS ASA/FTD の SNMP OID |
|
|
ユーザー統計がある ASA 9.12(4)47 が、「policy-server xxxx global」の可視性に影響する |
|
|
ユーザーコンテキストで write standby を使用すると、セカンダリファイアウォールのライセンスステータスが無効な状態のままになる |
|
|
ASA が、メモリトラッキング中に Unicorn スレッドで WebVPN トレースバックを使用する |
|
|
6.6.5 からのアップグレード後、FIPS が有効になっている DTLSv1.2 を確立できない |
|
|
ASA/FTD が ctm_n5 リセットによりトレースバックする |
|
|
「debug menu fxos_parser 4」発行時に Lina がトレースバックおよびリロードする |
|
|
vpn-context に ESP ルールがないため、IPSec トラフィックがドロップすることがある |
|
|
スレッド unicorn の tcp インターセプト統計によりトレースバックおよびリロードする |
|
|
リロード後に ISA3000 LACP チャネルメンバー SFP ポートが中断状態になる |
|
|
「snp_clear_acl_log_flow_all」が原因で設定をクリアすると、ASA/FTD がトレースバックおよびリロードすることがある |
|
|
SNMP ポーリングによる ifAdminStatus の出力が異常 |
|
|
バッファへのロギングに影響を与えるバッファサイズの変更 |
|
|
FTD トレースバックとリロード |
|
|
アップグレード後に ASA カスタムログインページが webvpn 経由で機能しない |
|
|
ASA:ASDM セッションが CLOSE_WAIT でスタックし、その結果 MGMT が不足する |
|
|
syslog コンポーネントによる Lina の FTD トレースバック |
|
|
ノード離脱中に ASA/FTD クラスタがトレースバックおよびリロードする |
|
|
外部ブラウザとラウンドロビン DNS を使用した AnyConnect SAML が断続的に失敗する |
|
|
ikev2 プロセスで ASA がトレースバックを生成し、リロードすることがある |
|
|
ASA/FTD がスレッド名「ikev2_fo_event」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名 pix_flash_config_thread でトレースバックおよびリロードする |
|
|
GTP インスペクションで、オプションの IE ヘッダー長が短すぎると、パケットがドロップされる |
|
|
GTP ドロップが、バッファと syslog に常に記録されない |
|
|
ASA/FTD がブロックデータの破損によりトレースバックする |
|
|
ASA が「snmp_ma_kill_restart: vf is NULL」というメッセージでトレースバック/リロードする |
|
|
FTD | 「Other unit has different set of hwidb index」により HA に参加できない |
|
|
ASA/FTD が、配布リストを使用して多数のネットワークオブジェクトの展開をトレースバックすることがある |
|
|
ASA/FTD:NAT 設定の展開の失敗 |
|
|
ASA:「定期認証証明書」が有効になっている AnyConnect 証明書ベースの認証に接続できない |
|
|
SNMP 通知スレッドでの ASA/FTD の高い CPU 使用率 |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
プレフィックスリストを使用して BGP ネイバーを追加した後に、HA の FTD が複数回トレースバックする。 |
|
|
SNMP トラップサーバーが設定されていない場合に、ASA/FTD の SNMP トラップがキューに入れられる |
|
|
TCM が有効になっている状態で、access-group 以外のコマンドが 2 回無効になると、新しい ACL が ASA で機能しない |
|
|
リブートがトリガーされたら、デバイスがアクティブ状態に移行しない必要がある |
|
|
アクティブ IP とスタンバイ IP の両方を使用しているスタンバイユニットが、nat「any」により重複 IP の問題の原因となる |
|
|
Lina がトレースバックおよびリロードする:VPN 親チャネル(SAL)に無効な基盤となるチャネルがある |
|
|
カスタム NAT が設定されている場合、VPN 経由の管理アクセスが機能しない |
|
|
ASA/FTD がスレッド名 fover_fail_check でトレースバックおよびリロードする |
|
|
Syslog 106016 がデフォルトでレート制限されていない |
|
|
LINA がスレッド名 ci/console でトレースバックおよびリロードする |
|
|
有用性の強化:ペイロードを解析できない場合、ASA/FTD によってサイレントにドロップされる |
|
|
ASA が DNS インスペクションによりトレースバックおよびリロードする |
|
|
説明にエスケープされた値を含むオブジェクトを展開すると、以降のすべての展開が失敗する可能性がある |
|
|
ASA/FTD:スレッド名 appAgent_reply_processor_thread でトレースバックおよびリロードする |
|
|
ASA:Webvpn ポータルが使用されている場合にトレースバックおよびリロードする |
|
|
ASA の復元で vlan 設定が適用されない |
|
|
接続レート OID の SNMP GET を使用してポーリング結果を取得できない |
|
|
ASA/FTD:しきい値を超えるフローのオブジェクトグループ検索 Syslog |
|
|
snort が 4085 ~ 4096 バイトのサイズのメッセージを送信すると、FTD PDTS LINA RX キューがスタックすることがある |
|
|
AWS:Geneve トンネルインターフェイスで SSL 復号が失敗する |
|
|
FTD で実行すると、「show tech-support」の生成内容に「show inventory」が含まれない |
|
|
FTD Lina がスレッド名「IP Init Thread」でトレースバックおよびリロードする |
|
|
「show asp drop」の紛らわしいドロップ理由 |
|
|
application/octet-stream と text/plain を使用した Web コンテンツへのクライアントレスアクセス |
|
|
ina_duart_write での再帰パニック |
|
|
ASA/FTD:アップグレード中の SNMP グループ設定によりトレースバックおよびリロードする |
|
|
ASA:EEM が設定されている場合、リブート時に「Sync Config」ステータスでスタンバイがスタックすることがある |
|
|
DCD が有効になっている場合に ASA 接続がアイドル状態でスタックする |
|
|
FPR2100:アプライアンスモードの ASA でのフェールオーバー コンバージェンス時間の増加 |
|
|
属性値が大きすぎることによる、DAP ルールとの AC クライアントの一致の失敗 |
|
|
ASA のコンテキストのカスケード接続を介したパケットが、ソフトウェアアップグレード後にゲートウェイコンテキストでドロップされる |
|
|
CSCwb04975 をサポートするための Lina の変更:FQDN ベースのトラフィックを処理する際に、Snort3 が daq-pdts でトレースバックする |
|
|
ASA/FTD が idfw fqdn ハッシュルックアップでトレースバックおよびリロードすることがある |
|
|
DSID リークによる DH 計算エラーのため、S2S トンネルが機能しない |
|
|
LINA がスレッド名 update_cpu_usage 下の FPR-1010 でトレースバックする |
|
|
ASA/FTD がスレッド名「telnet/ci」でトレースバックおよびリロードすることがある |
|
|
フローオフロードが使用されていない場合に、いくつかの devcmd 障害と checkheaps トレースバックが発生する。 |
|
|
AWS ASAv PAYG ライセンスが GovCloud リージョンで機能しない。 |
|
|
ASA/FTD が logging_cfg 処理でトレースバックおよびリロードすることがある |
|
|
クライアントレス VPN ユーザーが、WebVPN ポータルから大きなファイルをダウンロードできない |
|
|
ASA が別の認証および承認サーバーを使用している場合、Anyconnect ユーザーが接続できない |
|
|
ASA/FTD がトレースバックおよびリロードする、スレッド名:rtcli async executor process |
|
|
ASA/FTD:外部 IDP SAML 認証が「Bad Request」というメッセージで失敗する |
バージョン 9.18(2) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
大量のフラグメント化されたトラフィックにより ASA/FTD 9344 ブロックが枯渇する |
|
|
インターフェイスの停止時に BGP テーブルが接続ルートを削除しない |
|
|
クラスタのキープアライブパケットに新しいブロックを割り当てている間に ASA でトレースバックとリロードが発生する |
|
|
不安定なクライアントプロセスは、FTD で LINA zmqio トレースバックを引き起こす可能性がある |
|
|
LINA は、スレッド名「snmp_client_callback_thread」でトレースバックを観察した |
|
|
ASA:ページ違反のあるスレッド名 Unicorn Proxy Thread でのリロードとトレースバック:アドレスがマッピングされていない |
|
|
電源再投入後に ISA3000 がブートループの状態になる |
|
|
Cisco ASDM および ASA ソフトウェアのクライアント側で任意のコードが実行される脆弱性 |
|
|
ASA/FTD がスレッド名「DATAPATH-9-11543」でトレースバックおよびリロードする場合がある |
|
|
動的レート制限メカニズムを識別できず、syslog サーバーで 1 秒あたりのメッセージ制限に従っていない |
|
|
crasLocalAddress の SNMP クエリで SSL/DTLS トンネルに割り当てられた IP が返されない |
|
|
Cisco Firepower Threat Defense ソフトウェアの特権昇格の脆弱性 |
|
|
FTD:IKEv2 トンネルが 24 時間ごとにフラップし、暗号アーカイブが生成される |
|
|
Smart Call Home プロセス sch_dispatch_to_url によって ASA/FTD のトレースバックとリロードが引き起こされる |
|
|
ASA DHCP サーバーが予約済みアドレスを Linux デバイスにバインドできない |
|
|
FP4112|4115:スレッド名 netfs_thread_init でのトレースバックとリロード |
|
|
スレッド名 SXP CORE での ASA のトレースバック |
|
|
FIPS が有効になっている場合に、ASA が aes128-gcm@openssh.com を設定できない |
|
|
スレッド名 fover_parse での ASA トレースバックが SNMP 関連機能によってトリガーされる |
|
|
タイマーインフラ/ネットフロータイマーで FW のトレースバックが発生する |
|
|
ゾーンメンバーを使用する ASA ルーテッドモードで PBR が機能しない |
|
|
RIP が接続されているすべての Anyconnect ユーザーをアドバタイズしており、再配布用のルートマップと一致しない |
|
|
オフロードすべきでない SGT タグ付きパケットが FTD でオフロードされる |
|
|
変換後の宛先で組み込みの「任意の」オブジェクトを使用している場合、ASA/FTD プロキシはすべてのトラフィックに ARP 要求を送信する |
|
|
IKE トンネルを切断すると、ASA/FTD ファイアウォールがトレースバックおよびリロードすることがある |
|
|
ASA HA アクティブ/スタンバイトレースバックが、約 2 ヵ月ごとに確認される。 |
|
|
FMC から開始されたキャプチャが原因で ASA/FTD のトレースバックとリロードが発生する |
|
|
メモリの snmpwalk 出力が show memory/show memory details と一致しない |
|
|
EIGRP ルート更新処理中の Lina のトレースバックとリロード。 |
|
|
ASA:マルチコンテキスト混合モード SFR リダイレクションの検証 |
|
|
NAT 関連の機能 nat_policy_find_location で ASA/FTD のトレースバックとリロードが発生する |
|
|
インターフェイスがコンテキストから削除されると、「snmpwalk」を使用してインターフェイスを監視できない |
|
|
タイマー サービス アサーションによる ASA/FTD のトレースバックとリロード |
|
|
フォワーディング リファレンス関数と FIPS が有効になっている ACL を適用すると、ASA がグレースフルシャットダウンする |
|
|
SSH 設定を ASA バージョン 9.16 以降に適用できない |
|
|
ASA/FTD がスレッド名「ssh」でトレースバックし、リロードすることがある |
|
|
ASA/FTD がスレッド名「None」でトレースバックし、リロードすることがある |
|
|
インターフェイスの internal data0/0 は cli からは up/up になるが、SNMP ポーリングからは up/down になる |
|
|
ASA/FTD がスレッド名「ci/console」でトレースバックし、リロードすることがある |
|
|
ASA/FTD がスレッド名「appAgent_subscribe_nd_thread」でトレースバックする |
|
|
ASA/FTD IPSEC のデバッグで、ピアアドレスの変更とタイマー削除の理由が見つからない |
|
|
SFR が 6.7.0.3 にアップグレードされると、ASA のトレースバックが発生する |
|
|
CSM または CLI を使用して DNS インスペクションポリシーを変更すると、ASA のトレースバックとリロードが発生する |
|
|
../inspect/proxy.h:439 で FTD/ASA のトレースバックとリロードが発生する |
|
|
ASA:バックアップ後にインターフェイス設定で新しい構成を削除せずに復元する |
|
|
EEM スクリプト内で実行される「show nat pool cluster」コマンドにより、トレースバックとリロードが発生する |
|
|
ASA/FTD がスレッド名「DATAPATH-20-7695」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がユーザー証明書の SAN フィールドから UPN を解析できない |
|
|
クライアントのマシン証明書に空のサブジェクトがある場合、AC SSLVPN で証明書の認証と DAP に失敗する |
|
|
スレッド ID 1637 で ASA/FTD のトレースバックとリロードが発生する |
|
|
インラインセット インターフェイスの内部フロー処理によってフラグメント化された GRE トラフィックが原因で、9344 ブロックでリークが発生する |
|
|
ASA:VTY セッションで SLA デバッグが表示されない |
|
|
オブジェクトサブネット 0.0.0.0 0.0.0.0 が使用されている場合、NAT64 はすべての IPv6 アドレスを 0.0.0.0/0 に変換する |
バージョン 9.18(1) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
インターフェイス設定を変更すると、ASA で NAT の表面的な警告メッセージが表示される |
|
|
ASA:syslog レートが高い場合に 256 バイトのブロックが枯渇する |
|
|
異なるコンテキストで同じインターフェイスとネットワークに ipv6 アドレス/プレフィックスを設定できない |
|
|
管理セッションが数週間後に接続に失敗 |
|
|
IPsec の設定で NULL 暗号化を使用すると、L2L VPN セッションの起動が失敗する |
|
|
sha1 ではなく sha256 リクエストが原因で PKI の「OCSP 失効チェック」が失敗する |
|
|
ASA55XX:ソフトウェアアップグレード後に拡張モジュールインターフェイスが起動しない |
|
|
FTD がスレッド名「lina」でトレースバックおよびリロードする場合がある |
|
|
MASTER_POST_CONFIG 状態のクラスタユニットは、一定期間後に無効状態に移行しなければならない |
|
|
複数のインラインペアでの単一接続が原因で SSL 復号化が機能しない |
|
|
不安定なクライアントプロセスは、FTD で LINA zmqio トレースバックを引き起こす可能性がある |
|
|
default-information originate が最初に設定されると、設定に対する stub コマンドが許可されない |
|
|
dhcpp_add_ipl_stby が原因でスタンバイのコントロールプレーンの CPU 使用率が高くなる |
|
|
ASA/FTD がスタックトレースの「c_assert_cond_terminate」でトレースバックおよびリロードすることがある |
|
|
管理トンネルを実装している間、ユーザーはオープン接続を使用して AnyConnect をバイパスできる |
|
|
Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの DNS で DoS の脆弱性 |
|
|
asa-9.14.3 から asa-9.15.1/9.16.1.28 にアップグレードした後、NTP が *(同期済み)ステータスに変更されない |
|
|
プライマリ ASA は、スプリットブレインが検出され、ピアがコールドスタンバイになるとすぐに GARP を送信する必要がある |
|
|
ブロック解放中に Lina のトレースバックとリロードにより、FTD ブートループが発生する |
|
|
マルチ コンテキスト スイッチオーバーが ASDM から実行される場合、ASA で ASDM セッション/クォータカウントの不一致が発生する |
|
|
OSPFv2 フローにクラスター集中型「c」フラグがない |
|
|
起動時の ASA 9.14 の使用可能な DMA メモリが不足し、サポートされる AnyConnect セッションが減少する |
|
|
高速トラフィックでのインターフェイスリングのドロップにより、スタンバイユニットで Statelink hello メッセージがドロップした |
|
|
Cisco ASA および FTD ソフトウェアの Web サービスインターフェイスにおける権限昇格の脆弱性 |
|
|
ASA show tech の実行により、CPU でスパイクが発生し、IKEv2 セッションに影響を与える |
|
|
IPV4 アドレスが設定されていない場合、IPV6 での NTP 同期が失敗する |
|
|
デバイスでのメジャーバージョンの変更によるアップグレード後の FTD 展開の失敗 |
|
|
FP1120 9.14.3:アクティブなデバイスの再起動後に一時的なスプリットブレインが発生 |
|
|
インラインセットの show コマンドと clear コマンドが機能しない |
|
|
FTD が SSL フローエラーの CORRUPT_MESSAGE でトラフィックをブロックする |
|
|
スタンバイのサブインターフェイス mac は、mac-address コマンドなしでは古い mac に戻らない |
|
|
マッピングされたグループポリシーを持つ AnyConnect ユーザーは、トンネルグループの下にあるデフォルト GP から属性を取得する |
|
|
バージョン 9.14(2)15 へのアップグレード後に SNMP が応答しなくなる |
|
|
「failover active」コマンドの実行後に、状態遷移における遅延が原因で ASA フェールオーバー スプリット ブレインが発生 |
|
|
Cisco Firepower Threat Defense ソフトウェアで確認されたサービス拒否攻撃に対する脆弱性 |
|
|
IKE デーモンスレッドでの ASA および FTD のトレースバックとリロード |
|
|
ASA/FTD:LUA から不要なプロセス呼び出しを削除 |
|
|
ASA が、「ラベル長 164 バイトがプロトコルの制限である 63 バイトを超えている」という理由で非 DNS トラフィックをドロップする |
|
|
マルチインスタンスの Lina と FXOS の間でクロックドリフトを検出 |
|
|
フローオフロード - 比較状態の値が長期間エラー状態のままになる |
|
|
asp ドロップタイプ「no-adjacency」が原因で BVI インターフェイスで設定された ASA によってトラフィックがドロップした |
|
|
FTD が UI 管理を FDM から FMC に移すと、トラフィックエラーが発生する |
|
|
FTD SSL 復号トラフィックの遅延。SSL プロキシが構成可能/動的な最大 TCP ウィンドウサイズを許可する |
|
|
オブジェクトサービスでポートの範囲を使用すると、「NAT がポートを予約できません」というエラーが発生 |
|
|
Cisco 適応型セキュリティ アプライアンスのソフトウェアクライアントレス SSL VPN で確認されたヒープオーバーフローの脆弱性 |
|
|
ASA:アップグレード後のリロードの後に NTP 同期が失われる |
|
|
AnyConnect SSL の一部の syslog が、ユーザーコンテキストではなく管理コンテキストで生成される |
|
|
ASDM を使用してキャプチャを実行するとき、FPR4100 の ASA でトレースバックとリロードが発生する |
|
|
FMC からの展開中にトレースバックを使用してランダム FTD がリロードされる |
|
|
広範なプールを備えた ASA NAT66 が IPv6 で機能しない |
|
|
トレースバック:セカンダリファイアウォールがスレッド名「fover_parse」でリロード |
|
|
pix_startup_thread により ASA/FTD のトレースバックとリロードが発生 |
|
|
Cisco FTD の Bleichenbacher 攻撃に対する脆弱性 |
|
|
ASA:GTP ヘッダーに SEQ および EXT フィールドがある場合、IP ヘッダーチェックの検証に失敗する |
|
|
Cisco 適応型セキュリティアプライアンスと Firepower Threat Defense ソフトウェアの DAP に関する DoS 脆弱性 |
|
|
SNMP OID が約 1 時間半後に動作を停止する(FTD) |
|
|
ハッシュテーブルへのアクセス中に無効なメモリアクセスが原因で Lina のトレースバックとリロードが発生する |
|
|
SAML ネイティブブラウザ処理でメモリリークが発生する |
|
|
同じ送信元 IP に異なる CG-NAT ポートブロックが割り当てられたことが原因で、ホストごとの PAT ポートブロックが枯渇する |
|
|
FTD サービスモジュールの障害:「ND がダウンした可能性があります」という誤ったアラーム |
|
|
HTTP cli EXEC コードで ASA のトレースバックが発生する |
|
|
コントロールプレーンで DHCP オファーが表示されない |
|
|
オブジェクトで存在しない ACL を削除した後、新しいアクセスリストが有効にならない |
|
|
OGS コンパイル動作における ASA および FTD の変更によりブートループが発生する |
|
|
OID「1.3.6.1.4.1.9.9.171.1.3.2.1.2」をポーリングすると、関連するトンネルの負のインデックス値が得られる |
|
|
ASDM を介してインターフェイス設定を変更すると、Unicorn Admin Handler で ASA のトレースバックとリロードが発生する |
|
|
オフロードされた GRE トンネルは、サイレントにオフロードを解除し、CPU にパントされる場合がある |
|
|
ASA を 9.12.4.x にアップグレードした後、FTP インスペクションが正しく機能しなくなる |
|
|
スレッド名「PIX Garbage Collector」で ASA のリロードとトレースバックが発生する |
|
|
debug webvpn cifs 255 を有効にすると、トレースバックとリロードが発生する |
|
|
ASA:ページ違反のあるスレッド名 Unicorn Proxy Thread でのリロードとトレースバック:アドレスがマッピングされていない |
|
|
SNMP が予期しない結果の順序で snmpgetbulk に応答している |
|
|
スポークからの IPSec トンネルがフラッピングすると、ハブでトラフィックエラーが継続的に発生する |
|
|
FPR の SNMP get コマンドがインターフェイスインデックスを表示しない |
|
|
Cisco ASA および FTD ソフトウェアの VPN 承認バイパスの脆弱性 |
|
|
トレースバッグ:ASA/FTD がスレッド名「Logger」でトレースバックおよびリロードする場合がある |
|
|
トランザクションコミット診断に関する複数の問題が発生する |
|
|
ASA/FTD が、スレッド名「IP Address Assign」でトレースバックおよびリロードする場合がある |
|
|
9.15.1.17 にアップグレードした後、SNMP がポーリングに応答しなくなった |
|
|
AnyConnect TLSv1.2 セッション確立中に SSL ハンドシェイクログに不明なセッションが表示される |
|
|
ASA/FTD は、スレッド名「DATAPATH-4-9608」でトレースバックおよびリロードする場合がある |
|
|
Lina が tcpmod_proxy_handle_mixed_mode でトレースバックおよびリロードする場合がある |
|
|
ASA:ジャンボサイズのパケットが L2TP トンネル上でフラグメント化されない |
|
|
ポリシーの展開中にコンソールに過度の警告が発生する |
|
|
Mempool_DMA 割り当ての問題/メモリリークが発生 |
|
|
ASA:SSH と ASDM セッションが CLOSE_WAIT でスタックし、ASA の MGMT が不足する |
|
|
FP2140 ASA 9.16.2 HA ユニットが lua_getinfo(getfuncname)でトレースバックおよびリロードする |
|
|
Scaled S2S+AC-DTLS+SNMP の長時間テスト時に IKEv2 でクラッシュが発生する |
|
|
ASA/FTD MAC の変更が、INSPECT がオンになっているフラグメント化されたパケットの処理で見られる |
|
|
以前にアクティブだったメモリ追跡が無効になっている場合でも、CPU プロファイルを再アクティブ化できない |
|
|
FTD/ASA:BFD 機能のトレースバックにより予期しないリブートを引き起こす |
|
|
シングルパス:古い ifc が原因でトレースバック |
|
|
ASA DHCP サーバーが予約済みアドレスを Linux デバイスにバインドできない |
|
|
Cisco Firepower Threat Defense ソフトウェアの Generic Routing Encapsulation に関する DoS 脆弱性 |
|
|
FIPS が有効になっている場合に、ASA が aes128-gcm@openssh.com を設定できない |
|
|
変換後の宛先で組み込みの「任意の」オブジェクトを使用している場合、ASA/FTD プロキシはすべてのトラフィックに ARP 要求を送信する |
|
|
メモリの snmpwalk 出力が show memory/show memory details と一致しない |
エンドユーザーライセンス契約書
エンドユーザーライセンス契約書の詳細については、http://www.cisco.com/jp/go/warranty にアクセスしてください。
関連資料
ASA の詳細については、『Navigating the Cisco Secure Firewall ASA Series Documentation』を参照してください。
フィードバック