Cisco Secure Firewall ASA 9.20(x) リリースノート
このドキュメントには、ASA ソフトウェアバージョン 9.20(x) のリリース情報が記載されています。
 (注) |
9.20(1) は、Cisco Secure Firewall 4200 でのみサポートされます。以降のリリースは、他のモデルでサポートされます。 |
特記事項
-
9.20(4) におけるスマートライセンスのデフォルト転送の変更:9.20(4) において、スマートライセンスのデフォルトの転送が Smart Call Home から Smart Transport に変更されました。必要な場合は、transport type callhome コマンドを使用して Smart Call Home を使用するように ASA を設定できます。9.20(4) にアップグレードすると、転送が自動的に Smart Transport に変更されます。ダウングレードすると、転送は Smart Call Home に戻ります。Smart Transport を使用する場合は、transport type smart を指定する必要があります。また、Smart Transport のライセンスの URL は(tools.cisco.com ではなく)https://smartreceiver.cisco.com であるため、アップストリームルータでその URL を許可するようにしてください。
-
ASA 9.20(2) は、現在のすべてのモデルをサポートします。
-
プレフィックスリストと一致するルートマップを指定する OSPFv3 redistribute コマンドは、9.20(2) で削除されます。9.20(2) にアップグレードすると、指定された route-map が match ip address prefix-list を使用する OSPFv3 redistribute コマンドが設定から削除されます。プレフィックスリストはサポートされていませんが、パーサーでは引き続きこのコマンド使用できます。アップグレードする前に、match ip address コマンドで ACL を指定するルートマップを使用するように OSPFv3 を再設定する必要があります。
メモ
OSPFv2 の IPv4 プレフィックスリストを使用したルートマップの再配布はサポートされていません。
-
ASA バージョン 9.20(1) は、Cisco Secure Firewall 4200 のみをサポートします。ASDM 7.20(1) は、9.20(1) 上の Cisco Secure Firewall 4200 をサポートしますが、他のプラットフォーム上の以前のリリースとも下位互換性があります。
システム要件
ASDM には、4 コア以上の CPU を搭載したコンピュータが必要です。コア数が少ないと、メモリ使用量が高くなる可能性があります。
ASA と ASDM の互換性
ASA/ASDM ソフトウェアおよびハードウェアの要件およびモジュールの互換性を含む互換性の詳細については、『Cisco Secure Firewall ASA Compatibility』を参照してください。
VPN の互換性
VPN の互換性については、『Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。
新機能
このセクションでは、各リリースの新機能を示します。
(注) |
syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
ASA 9.20(4) の新機能
リリース:2025 年 7 月 2 日
|
機能 |
説明 |
||||
|---|---|---|---|---|---|
|
ライセンス機能 |
|||||
|
Smart Transport はスマートライセンスのデフォルトの転送です |
スマートライセンスでは現在、デフォルトの転送として Smart Transport を使用しています。必要に応じて、旧タイプの Smart Call Home を任意で有効にできます。 新規/変更されたコマンド:transport proxy 、transport type 、transport url 9.22(1) でも同様です。 |
||||
|
管理、モニタリング、およびトラブルシューティングの機能 |
|||||
|
SSH X.509 証明書認証 |
X.509v3 証明書を使用して SSH のユーザーを認証できるようになりました(RFC 6187)。
新規/変更されたコマンド:aaa authorization exec ssh-x509 、ssh authentication method 、ssh trustpoint sign、 ssh username-from-certificate 、validation-usage ssh-client |
||||
|
AES-256-GCM SSH 暗号 |
ASA は、SSH の AES-256-GCM 暗号をサポートしています。デフォルトでは、暗号化レベル [すべて(all)] と [高(high)] で有効になっています。 新規/変更されたコマンド: ssh cipher encryption |
||||
ASA 9.20(3) の新機能
リリース日:2024 年 7 月 31 日
|
機能 |
説明 |
|---|---|
|
プラットフォーム機能 |
|
|
ASA 仮想 AWS IMDSv2 のサポート |
AWS Instance Metadata Service バージョン 2(IMDSv2)の API が ASA 仮想でサポートされるようになりました。これにより、インスタンスメタデータを取得して検証できます。IMDSv2 は、インスタンス メタデータ サービスをターゲットにした脆弱性に対して追加のセキュリティを提供します。ASA 仮想 を AWS に展開するときに、ASA 仮想 のメタデータバージョンを次のように設定できるようになりました。
既存の ASA 仮想 展開がある場合は、9.20(3) 以降にアップグレードした後で「IMDSv2 必須」モードに移行できます。AWS のドキュメント(https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html)を参照してください 詳細については、『Cisco Secure Firewall ASA Virtual Getting Started Guide, 9.20』を参照してください。 |
|
ファイアウォール機能 |
|
|
VPN サービスの脅威検出 |
VPN サービスの脅威検出を設定して、IPv4 アドレスからの次のタイプの VPN 攻撃に対して保護できます。
アクセスに失敗したとしても、これらの攻撃によってコンピューティングリソースを消費し、場合によってはサービス拒否(DoS)を引き起こす可能性があります。 clear threat-detection service 、show threat-detection service 、shun 、threat-detection service の各コマンドが導入または変更されました。 |
|
VPN 機能 |
|
|
webvpn コンフィギュレーションおよび tunnel-group 内の複数の IdP 証明書 |
webvpn コンフィギュレーションで、トンネルグループ固有の IdP 証明書および複数の IdP 証明書を設定できるようになりました。この機能を使用すると、新しい証明書だけでなく古い証明書も信頼できるようになるため、新しい証明書への移行が容易になります。 新規/変更されたコマンド:saml idp-trustpoint 、trustpoint idp |
|
事前認証済み SSL 接続のレート制限 |
ASA 仮想 は、事前認証された SSL 接続のレートを制限できます。この制限は、デバイスの VPN 接続制限の 3 倍として計算されます。この制限を超えると、新しい SSL 接続は許可されません。デバイスは、事前認証された SSL 接続数がゼロになった後にのみ、新しい SSL 接続を許可します。ただし、この制限は管理接続には適用されません。 新規/変更されたコマンド: show counters |
ASA 9.20(2) の新機能
リリース日:2023 年 12 月 13 日
|
機能 |
説明 |
|---|---|
|
プラットフォーム機能 |
|
|
Cisco Secure Firewall 3100 における 100GB ネットワークモジュールのサポート |
Cisco Secure Firewall 3100 で 100GB のネットワークモジュールを使用できるようになりました。このモジュールは、Cisco Secure Firewall 4200 でもサポートされています。 |
|
Cisco Secure Firewall 4200 の接続制限の引き上げ |
最大接続数が引き上げられました。
|
|
OCI 上の ASAv:追加のインスタンス |
OCI 上の ASA 仮想インスタンスは、最高のパフォーマンスとスループットレベルを達成するために追加のシェイプをサポートするようになりました。 |
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
|
Azure 上の ASAv:ゲートウェイ ロード バランシングによるクラスタリング |
Azure Resource Manager(ARM)テンプレートを使用した Azure での ASA 仮想クラスタリングの展開がサポートされるようになり、ネットワークトラフィックのロードバランシングにゲートウェイロードバランサ(GWLB)を使用するように
ASAv クラスタが設定されています。
新しい/変更されたコマンド: |
|
AWS 上の ASAv:ゲートウェイ ロード バランシングによるクラスタリングの復元力 |
AWS のターゲットグループサービスでターゲット フェールオーバー オプションを設定できます。これにより、仮想インスタンスのフェールオーバーが発生した場合に GWLB が既存のフローを正常なターゲットに転送できます。ASAv クラスタリングでは、各インスタンスがターゲットグループに関連付けられ、ターゲット フェールオーバー オプションが有効になっています。これは、GWLB が異常なターゲットを識別して、ターゲットグループ内のターゲットノードとして識別または登録されている正常なインスタンスにネットワークトラフィックをリダイレクトまたは転送するのに役立ちます。 |
|
シャーシハートビート障害後にクラスタに再参加するための設定可能な遅延(Firepower 4100/9300) |
デフォルトでは、シャーシハートビート障害から回復すると、ノードはすぐにクラスタに再参加します。ただし、health-check chassis-heartbeat-delay-rejoin コマンドを設定すると、health-check system auto-rejoin コマンドの設定に従って再参加します。 新規/変更されたコマンド: health-check chassis-heartbeat-delay-rejoin |
|
show failover statistics にクライアント統計情報を追加 |
フェールオーバー クライアントのパケット統計情報が拡張され、デバッグ機能が向上しました。show failover statistics コマンドは、np-clients (データパスクライアント)および cp-clients (コントロールプレーン クライアント)の情報を表示するように拡張されています。 変更されたコマンド:show failover statistics cp-clients 、show failover statistics np-clients 9.18(4) でも同様です。 |
|
show failover statistics events に新しいイベントを追加 |
show failover statistics events コマンドが拡張され、アプリケーション エージェントによって通知されるローカル障害(フェールオーバーリンクの稼働時間、スーパーバイザハートビート障害、およびディスクフルの問題)を表示するようになりました。 変更されたコマンド: show failover statistics events 9.18(4) でも同様です。 |
ASA 9.20(1) の新機能
リリース:2023 年 9 月 7 日
(注) |
このリリースは、Cisco Secure Firewall 4200 でのみサポートされます。 |
|
機能 |
説明 |
|---|---|
|
プラットフォーム機能 |
|
|
Cisco Secure Firewall 4200 |
Cisco Secure Firewall 4215、4225、および 4245 向けの ASA を導入しました。Cisco Secure Firewall 4200 は、スパンド EtherChannel クラスタリングで最大 8 ユニットをサポートします。ファイアウォールの電源が入っているときに、再起動することなく、同じタイプのネットワークモジュールをホットスワップできます。他のモジュールの変更を行う場合には、再起動が必要です。Cisco Secure Firewall 4200 の 25 Gbps 以上のインターフェイスは、Forward Error Correction と、インストールされている SFP に基づく速度検出をサポートします。SSD は自己暗号化ドライブ(SED)です。SSD が 2 つある場合、ソフトウェア RAID を形成します。管理インターフェイスが 2 つあります。 |
|
ファイアウォール機能 |
|
|
データプレーンにオフロードされた ASP ルールエンジンのコンパイル。 |
デフォルトでは、ルールベースのポリシー(ACL、NAT、VPN など)に 100 を超えるルール更新がある場合、ASP ルールエンジンのコンパイルはコントロールプレーンではなくデータプレーンにオフロードされます。このオフロードにより、コントロールプレーンで他のタスクを実行する時間が長くなります。 次のコマンドが追加または変更されました。asp rule-engine compile-offload 、show asp rule-engine 。 |
|
データプレーンのクイックリロード |
データプレーンを再起動する必要がある場合、デバイスを再起動する代わりに、データプレーンプロセスをリロードできるようになりました。データプレーンのクイックリロードを有効にすると、データプレーンとその他のプロセスが再起動されます。 新規/変更されたコマンド:data-plane quick-reload 、show data-plane quick-reload status 。 |
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
|
ASA の高可用性のための偽フェールオーバーの削減 |
ASA 高可用性のデータプレーンに追加のハートビートモジュールが導入されました。このハートビートモジュールは、コントロールプレーンのトラフィックの輻輳や CPU の過負荷が原因で発生する可能性のある、偽フェールオーバーやスプリットブレインシナリオを回避するのに役立ちます。 9.18(4) でも同様です。 |
|
フローステータスの設定可能なクラスタキープアライブ間隔 |
フローオーナーは、キープアライブ(clu_keepalive メッセージ)と更新(clu_update メッセージ)をディレクタおよびバックアップオーナーに送信して、フローの状態を更新します。キープアライブ間隔を設定できるようになりました。デフォルトは 15 秒で、15 ~ 55 秒の範囲で間隔を設定できます。クラスタ制御リンクのトラフィック量を減らすために長い間隔を設定できます。 新規/変更されたコマンド: clu-keepalive-interval |
|
ルーティング機能 |
|
|
EIGRPv6 |
EIGRP for IPv6 を設定し、それらを個別に管理できるようになりました。各インターフェイスで EIGRP を設定するときは、IPv6 を明示的に有効にする必要があります。 新規/変更されたコマンド:新しく導入されたコマンドは、次のとおりです。ipv6 eigrp 、ipv6 hello-interval eigrp 、ipv6 hold-time eigrp 、ipv6 split-horizon eigrp 、show ipv6 eigrp interface 、show ipv6 eigrp traffic 、show ipv6 eigrp neighbors 、show ipv6 eigrp interface 、ipv6 summary-address eigrp 、show ipv6 eigrp topology 、show ipv6 eigrp events 、show ipv6 eigrp timers 、clear ipv6 eigrp 、および clear ipv6 router eigrp IPv6 をサポートするため、次のコマンドが変更されました。default-metric 、distribute-list prefix-list 、passive-interface 、eigrp log-neighbor-warnings 、eigrp log-neighbor-changes 、eigrp router-id 、および eigrp stub |
|
インターフェイス機能 |
|
|
VXLAN VTEP IPv6 のサポート |
VXLAN VTEP インターフェイスに IPv6 アドレスを指定できるようになりました。IPv6 では、ASA 仮想 クラスタ制御リンクまたは Geneve カプセル化がサポートされていません。 新規/変更されたコマンド:default-mcast-group 、mcast-group 、peer ip |
|
DNS、HTTP、ICMP、IPsec フローオフロードのループバック インターフェイスのサポート |
ループバック インターフェイスを追加して、以下に使用できるようになりました。
|
|
ライセンス機能 |
|
|
スマートライセンスや Smart Call Home といったクラウドサービスの IPv6 |
ASA は、スマートライセンスや Smart Call Home などのクラウドサービスの IPv6 をサポートするようになりました。 |
|
証明書の機能 |
|
|
OCSP および CRL の IPv6 PKI |
ASA で、IPv4 と IPv6 両方の OCSP および CRL URL をサポートするようになりました。URL で IPv6 を使用する場合は、角カッコで囲む必要があります。
新規/変更されたコマンド:crypto ca trustpointcrl 、cdp url 、ocsp url |
|
管理、モニタリング、およびトラブルシューティングの機能 |
|
|
SNMP syslog のレート制限 |
システム全体のレート制限を設定しない場合、SNMP サーバーに送信される syslog に対して個別にレート制限を設定できるようになりました。 新規/変更されたコマンド: logging history rate-limit |
|
スイッチのパケットキャプチャ |
スイッチの出力および入力トラフィックパケットをキャプチャするように設定できるようになりました。このオプションは、Secure Firewall 4200 モデルデバイスに対してのみ使用できます。 新しい/変更されたコマンド:
capture capture_name switch interface interface_name [ direction { both | egress | ingress } ] |
|
VPN 機能 |
|
|
暗号デバッグの機能拡張 |
暗号デバッグの機能拡張は次のとおりです。
新しい/変更されたコマンド:
|
|
IKEv2 の複数のキー交換 |
ASA は、量子コンピュータ攻撃から IPsec 通信を保護するために、IKEv2 で複数のキー交換をサポートします。 新規/変更されたコマンド: additional-key-exchange |
ソフトウェアのアップグレード
このセクションには、アップグレードを完了するためのアップグレードパス情報とリンクが記載されています。
アップグレードリンク
アップグレードを完了するには、『ASA アップグレード ガイド』を参照してください。
アップグレードパス:ASA アプライアンス
シスコサポート & ダウンロードサイトでは、推奨リリースに金色の星が付いています。次に例を示します。
現在のバージョンの表示
現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。
-
ASDM: の順に選択します。
-
CLI:show version コマンドを使用します。
アップグレードのガイドライン
開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。
ASA のセキュリティの問題と、各問題に対する修正を含むリリースについては、ASA Security Advisories を参照してください。
アップグレードパス
次の表に、ASA のアップグレードパスを示します。
(注) |
ASA 9.18 は Firepower 4110、4120、4140、4150、および Firepower 9300 のセキュリティモジュール SM-24、SM-36、SM-44 の最終バージョンです。 ASA 9.16 は ASA 5506-X、5508-X、および 5516-X の最終バージョンです。 ASA 9.14 は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。 ASA 9.12 は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、 ASA 9.2 は ASA 5505 の最終バージョンです。 ASA 9.1 は ASA 5510、5520、5540、5550、および 5580 の最終バージョンです。 |
|
現在のバージョン |
暫定アップグレードバージョン |
ターゲットバージョン |
|---|---|---|
|
9.19 |
— |
次のいずれかになります。 → 9.20 |
|
9.18 |
— |
次のいずれかになります。 → 9.20 → 9.19 |
|
9.17 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 |
|
9.16 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 |
|
9.15 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 |
|
9.14 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 |
|
9.13 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 |
|
9.12 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 |
|
9.10 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.12 |
|
9.9 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.12 |
|
9.8 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.12 |
|
9.7 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.12 |
|
9.6 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.12 |
|
9.5 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.12 |
|
9.4 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.12 |
|
9.3 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.12 |
|
9.2 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.12 |
|
9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4) |
— |
次のいずれかになります。 → 9.12 |
|
9.0(2)、9.0(3)、または 9.0(4) |
— |
次のいずれかになります。 → 9.12 |
アップグレードパス:Firepower 2100 の ASA(プラットフォームモード)
現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。
-
ASDM: の順に選択します。
-
CLI:show version コマンドを使用します。
次の表に、Firepower 2100 上のプラットフォームモードの ASA に対応するアップグレードパスを示します。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要になります。推奨バージョンは太字で示されています。
開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。
ASA のセキュリティの問題と、各問題に対する修正を含むリリースについては、ASA Security Advisories を参照してください。
|
現在のバージョン |
暫定アップグレードバージョン |
ターゲットバージョン |
|---|---|---|
|
9.19 |
— |
次のいずれかになります。 → 9.20 |
|
9.18 |
— |
次のいずれかになります。 → 9.20 → 9.19 |
|
9.17 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 |
|
9.16 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 |
|
9.15 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 |
|
9.14 |
— |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 → 9.17 → 9.16 → 9.15 |
|
9.13 |
→ 9.18 |
次のいずれかになります。 → 9.20 → 9.19 |
|
9.13 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 |
|
9.12 |
→ 9.18 |
次のいずれかになります。 → 9.20 → 9.19 |
|
9.12 |
— |
次のいずれかになります。 → 9.18 → 9.17 → 9.16 → 9.15 → 9.14 |
|
9.10 |
→ 9.17 |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 |
|
9.10 |
— |
次のいずれかになります。 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 |
|
9.9 |
→ 9.17 |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 |
|
9.9 |
— |
次のいずれかになります。 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 |
|
9.8 |
→ 9.17 |
次のいずれかになります。 → 9.20 → 9.19 → 9.18 |
|
9.8 |
— |
次のいずれかになります。 → 9.17 → 9.16 → 9.15 → 9.14 → 9.12 |
アップグレードパス:Firepower 4100/9300 用の ASA 論理デバイス
-
FXOS:FXOS 2.2.2 以降では、上位バージョンに直接アップグレードできます。(FXOS 2.0.1 ~ 2.2.1 は 2.8.1 までアップグレードできます。2.0.1 より前のバージョンについては、各中間バージョンにアップグレードする必要があります。)現在の論理デバイスバージョンをサポートしていないバージョンに FXOS をアップグレードすることはできないことに注意してください。次の手順でアップグレードを行う必要があります。現在の論理デバイスをサポートする最新のバージョンに FXOS をアップグレードします。次に、論理デバイスをその FXOS バージョンでサポートされている最新のバージョンにアップグレードします。たとえば、FXOS 2.2/ASA 9.8 から FXOS 2.13/ASA 9.19 にアップグレードする場合は、次のアップグレードを実行する必要があります。
-
FXOS 2.2 → FXOS 2.11(9.8 をサポートする最新バージョン)
-
ASA 9.8 → ASA 9.17(2.11 でサポートされている最新バージョン)
-
FXOS 2.11 → FXOS 2.13
-
ASA 9.17 → ASA 9.19
-
-
Firewall Threat Defense:上記の FXOS 要件に加えて、Firewall Threat Defense に対して中間アップグレードが必要になる場合があります。正確なアップグレードパスについては、ご使用のバージョンのFirewall Management Center アップグレードガイドを参照してください。
-
Cisco ASA:Cisco ASA では、上記の FXOS 要件に注意して、現在のバージョンから任意の上位バージョンに直接アップグレードできます。
|
FXOS のバージョン |
モデル |
ASA のバージョン |
Firewall Threat Defense バージョン |
||||
|---|---|---|---|---|---|---|---|
|
2.16 |
Firepower 4112 |
9.20 9.19 9.18 9.17 |
7.6(推奨) 7.4 7.3 7.2 7.1 |
||||
|
Firepower 4145 Firepower 4125 Firepower 4115 |
9.20 9.19 9.18 9.17 |
7.6(推奨) 7.4 7.3 7.2 7.1 |
|||||
|
Firepower 9300 SM-56 Firepower 9300 SM-48 Firepower 9300 SM-40 |
|||||||
|
2.14(1) |
Firepower 4112 |
9.20(推奨) 9.19 9.18 9.17 9.16 9.14 |
7.4(推奨) 7.3 7.2 7.1 7.0 6.6 |
||||
|
Firepower 4145 Firepower 4125 Firepower 4115 |
9.20(推奨) 9.19 9.18 9.17 9.16 9.14 |
7.4(推奨) 7.3 7.2 7.1 7.0 6.6 |
|||||
|
Firepower 9300 SM-56 Firepower 9300 SM-48 Firepower 9300 SM-40 |
|||||||
|
2.13 |
Firepower 4112 |
9.19(推奨) 9.18 9.17 9.16 9.14 |
7.3(推奨) 7.2 7.1 7.0 6.6 |
||||
|
Firepower 4145 Firepower 4125 Firepower 4115 |
9.19(推奨) 9.18 9.17 9.16 9.14 |
7.3(推奨) 7.2 7.1 7.0 6.6 |
|||||
|
Firepower 9300 SM-56 Firepower 9300 SM-48 Firepower 9300 SM-40 |
|||||||
|
2.12 |
Firepower 4112 |
9.18(推奨) 9.17 9.16 9.14 |
7.2(推奨) 7.1 7.0 6.6 |
||||
|
Firepower 4145 Firepower 4125 Firepower 4115 |
9.18(推奨) 9.17 9.16 9.14 9.12 |
7.2(推奨) 7.1 7.0 6.6 6.4 |
|||||
|
Firepower 9300 SM-56 Firepower 9300 SM-48 Firepower 9300 SM-40 |
|||||||
|
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.18(推奨) 9.17 9.16 9.14 9.12 |
7.2(推奨) 7.1 7.0 6.6 6.4 |
|||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
|||||||
|
2.11 |
Firepower 4112 |
9.17(推奨) 9.16 9.14 |
7.1(推奨) 7.0 6.6 |
||||
|
Firepower 4145 Firepower 4125 Firepower 4115 |
9.17(推奨) 9.16 9.14 9.12 |
7.1(推奨) 7.0 6.6 6.4 |
|||||
|
Firepower 9300 SM-56 Firepower 9300 SM-48 Firepower 9300 SM-40 |
|||||||
|
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.17(推奨) 9.16 9.14 9.12 9.8 |
7.1(推奨) 7.0 6.6 6.4 |
|||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
|||||||
|
2.10
|
Firepower 4112 |
9.16(推奨) 9.14 |
7.0(推奨) 6.6 |
||||
|
Firepower 4145 Firepower 4125 Firepower 4115 |
9.16(推奨) 9.14 9.12 |
7.0(推奨) 6.6 6.4 |
|||||
|
Firepower 9300 SM-56 Firepower 9300 SM-48 Firepower 9300 SM-40 |
|||||||
|
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.16(推奨) 9.14 9.12 9.8 |
7.0(推奨) 6.6 6.4 |
|||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
|||||||
|
2.9 |
Firepower 4112 |
9.14 |
6.6 |
||||
|
Firepower 4145 Firepower 4125 Firepower 4115 |
9.14 9.12 |
6.6 6.4 |
|||||
|
Firepower 9300 SM-56 Firepower 9300 SM-48 Firepower 9300 SM-40 |
|||||||
|
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.14 9.12 9.8 |
6.6 6.4 |
|||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
|||||||
|
2.8 |
Firepower 4112 |
9.14 |
6.6
|
||||
|
Firepower 4145 Firepower 4125 Firepower 4115 |
9.14(推奨) 9.12
|
6.6(推奨)
6.4 |
|||||
|
Firepower 9300 SM-56 Firepower 9300 SM-48 Firepower 9300 SM-40 |
|||||||
|
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.14(推奨) 9.12 9.8 |
6.6(推奨)
6.4 6.2.3 |
|||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
|||||||
|
2.6(1.157)
|
Firepower 4145 Firepower 4125 Firepower 4115 |
9.12
|
6.4 |
||||
|
Firepower 9300 SM-56 Firepower 9300 SM-48 Firepower 9300 SM-40 |
|||||||
|
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.12(推奨) 9.8 |
6.4(推奨) 6.2.3 |
|||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
|||||||
|
2.6(1.131) |
Firepower 9300 SM-48 Firepower 9300 SM-40 |
9.12 |
サポート対象外 |
||||
|
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.12(推奨) 9.8 |
||||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
|||||||
|
2.3(1.73) |
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.8
|
6.2.3(推奨)
|
||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
|||||||
|
2.3(1.66) 2.3(1.58) |
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.8
|
|||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
|||||||
|
2.2 |
Firepower 4150 Firepower 4140 Firepower 4120 Firepower 4110 |
9.8 |
Firewall Threat Defense バージョンはサポートが終了しています |
||||
|
Firepower 9300 SM-44 Firepower 9300 SM-36 Firepower 9300 SM-24 |
ダウングレードについての注記
FXOS イメージのダウングレードは公式にはサポートされていません。シスコがサポートする唯一の FXOS のイメージバージョンのダウングレード方法は、デバイスの完全な再イメージ化を実行することです。
未解決のバグおよび解決されたバグ
このリリースで未解決のバグおよび解決済みのバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベースツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。
(注) |
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントがない場合は、アカウントを登録できます。シスコサポート契約がない場合は、ID でのみバグを探すことができます。検索は実行できません。 |
Cisco Bug Search Tool の詳細については、Bug Search Tool Help & FAQ [英語] を参照してください。
バージョン 9.20(x) で未解決のバグ
次の表に、このリリースノートの発行時点で未解決のバグを示します。
|
ID |
見出し |
|---|---|
|
pin_lock_get_Actual_internal でのトレースバックとリロード |
|
|
タイムゾーンがヨーロッパ/ダブリン(GMT)に設定されていると、ASA クロックが 2 時間同期しない。 |
|
|
FTD FP2100 ポートチャネル インターフェイスが LACP でフラップする |
|
|
snmpd サービスの障害による FXOS のリセットとリロード |
|
|
Firepower がリロード後に SSL トラストポイント設定を削除する |
|
|
一般的に使用されるオブジェクトの 1 つのコンテンツが変更された後、ACL の順序が変更される。 |
|
|
ドクタリングルールのタイプがダイナミックであり、インターフェイスがある場合、DNS ドクタリングが正しく機能しない |
|
|
メモリリーク:ASA フラグメントサイズ 72 により MEMPOOL_GLOBAL_SHARED POOL のメモリが枯渇する |
|
|
トラブルシュートファイルの収集中に FTD のトレースバックとリロードが発生する |
|
|
Duo と統合されている場合、ASA の SSH ログインが最初の試行で失敗する |
|
|
ASA:SSH セッションが閉じられても asacli プロセスが終了しない |
|
|
FTD MI:7.4.2.2 へのアップグレード後に SNMP ポーリングが機能しない |
|
|
FP4245 での ASA のトレースバックとリロードにより、破損した Lina コアファイルが生成される |
|
|
FPR 1140 ポートチャネル インターフェイスがアップグレード後にフラップする |
|
|
ASA クラッシュ情報ファイルが FP4200 デバイスで生成されない |
|
|
TX パケットの書き込み時に DPDK コードで ASAv がトレースバックする |
|
|
LINA:フェールオーバー インターフェイス IP 間のトラフィックに起因する 1550 ブロックの枯渇 |
|
|
ASA からの syslog に想定どおりに RFC5424 形式の時間とタイムゾーンが含まれていない |
|
|
パケットトレーサと実際のトラフィックが不適切な ACL にヒットする。 |
|
|
デバイスのリロード後に ASA のクロックが UTC に戻る |
解決済みのバグ
このセクションでは、リリースごとに解決済みのバグを一覧表で示します。
バージョン 9.20(4) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
ASA が SNMP の NAT ルールの作成に失敗し、「NAT がポートを予約できない」というエラーが表示されることがある。 |
|
|
SSL VPN と HTTP サーバーが同じポートで設定されている場合の ASDM のアクセスに関する問題 |
|
|
Firepower 1000/2100 が ROMMON モードにブートすることがある |
|
|
設定時にバナーログインが表示されない |
|
|
FPR31xx:SNMP ポーリングにおいて、FanTray が実際に動作しているにもかかわらず、誤ってダウン状態で報告される |
|
|
Ctrl+C を押して cancel show tech fprm detail コマンドを実行すると、fxos ディレクトリが表示されなくなる。 |
|
|
古い anyconnect エントリが原因でルーティングの問題が発生する |
|
|
Cisco ASA および FTD のリモートアクセス SSL VPN 認証における標的型サービス妨害(DoS)の脆弱性 |
|
|
「show webvpn saml idp」CLI コマンドを呼び出したときの ASA/FTD のトレースバックとリロード |
|
|
VTI トラフィックのネクストホップに不適切な終了インターフェイスが選択される |
|
|
[表示] FXOS:リロード後に、PC メンバーインターフェイスがダウン状態で関連付けられていない/割り当てられていないと表示される |
|
|
FP3110 上の ASA ソフトウェアが show inventory 出力で誤ったシリアル番号を表示する |
|
|
FTD のリブートまたは lina のリロード後に管理インターフェイスを介した syslog が loggerd を通過しない |
|
|
ASA:DNS クエリ応答のために着信接続を開始するための予期しないログ |
|
|
snort3 のトレースバック時に FTD-HA がフェールオーバーしないことがある |
|
|
ASA|FTD:スレッド名 update_mem_reference でのトレースバックとリロード。 |
|
|
[マルチインスタンス] 2 番目のハードドライブ(FPR-MSP-SSD)が使用されていない |
|
|
ポリシー展開中のスタンバイ FTD における swapcontext の Lina コア |
|
|
Libtiff の tiffcrop ユーティリティでメモリリークの欠陥が見つかった。この問題 |
|
|
ASA:HA 同期 ACL-DAP 中にスタンバイデバイスをトレースバックする |
|
|
ISA3000 のトレースバックとリロードによるブートループ |
|
|
VTI またはループバック インターフェイスが作成されると、TCP MSS がデフォルト値に戻される |
|
|
ASA/FTD:アップグレード後も Firepower 1010 デバイスでポートチャネルがダウンしたままになる |
|
|
送信元オブジェクトグループと宛先オブジェクトグループに同じ内部オブジェクトグループが含まれていると、宛先エントリの変更が失敗する |
|
|
ポートチャネル インターフェイスを有効にした後、メンバーインターフェイスの管理ステータスが Lina で更新されない |
|
|
FTD/ASA:snmpwalk を使用した SNMP クエリですべての「nameif」インターフェイスが表示されない |
|
|
2005 からの unzip 5.52 に複数の脆弱性が含まれる |
|
|
2.11.7 より前と 2.1 より前の 2.12.x の libxml2 で問題が見つかった |
|
|
ASA/FTD が Netflow タイマーインフラに関連するスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA/FTD がスレッド名「DATAPATH-6-26174」でトレースバックし、リロードすることがある |
|
|
デバッグ:Eth1/1 が予期せずフラップする |
|
|
base-install の後に CP がすべてのオンボードインターフェイスを L3 モードとしてリストすることがある |
|
|
ngfw 管理インターフェイスで SNMP を設定した後に IP を設定すると、SNMP ウォークが機能しない。 |
|
|
予期しない clear configure access-list による内部キャッシュ access-group リストのメンテナンスの問題 |
|
|
コアファイルのディスククォータはプラットフォームに基づいた見直しが必要 |
|
|
Dns ガードがタイミング条件により接続を早期に終了する |
|
|
スレッド名 SSH での ASA のトレースバック |
|
|
一部の OID の SNMP ポーリングによって CPU が占有され、ICMP パケットで高遅延が確認される可能性がある |
|
|
FTDv:AWS GW に接続されているインターフェイスで DHCP の接続の問題が発生しているか、そのインターフェイスがアイドル状態になっている可能性がある。 |
|
|
「ハッシュ値の計算に失敗しました(Failed to compute a hash value)」というエラーで Crypto IPSEC ネゴシエーションが失敗する |
|
|
ASA:failsafe-exit コマンドを実行するとインターフェイスが DISABLED 状態になる |
|
|
古い logrotate ファイルをクリーンアップ |
|
|
webvpn 内部 lua ライブラリのメモリマネージャの改善 |
|
|
SNMP ホストグループのコンテンツの変更により、管理インターフェイスで SNMP プロセスが終了する |
|
|
デバイスがクラスタに参加すると、PAT プールを使用した PAT 通信が約 40 秒間失敗する |
|
|
CPUTotal1min の SNMP OID がポーリング時に snort cpu コアのエントリを除外する |
|
|
VPN の PKI/Crypto を含む ASAv のメモリリーク |
|
|
tpk_mi の 7.4.1.1 から 7.6.0 000_start/000_00_run_cli_kick_start.sh へのアップグレードが失敗する。 |
|
|
ENH ログ FP4110(FXOS 2.10.1.179)デバイスの再起動後にセキュリティモジュールが応答しなくなる |
|
|
ASA/FTD に snmpd コアが存在する |
|
|
FTD:fqdn オブジェクトを含む NAT に起因するトレースバックとリロード |
|
|
フラグメント化されたクライアント Hello パケットを受信した順序が正しくない場合、TLS ハンドシェイクが失敗する |
|
|
FTD/ASA:メモリトラッキングを有効にした後のスタンバイ FTD のトレースバックとリロード |
|
|
ファンは想定どおりに動作しているものの、ファン LED がオフ状態になっている。 |
|
|
誤った「Hello」メッセージ MAC により、スタンバイユニットのインターフェイスが FTD のアップグレード後に「待機」ステータスになる |
|
|
ASA/FTD がスレッド名「fover_FSM_thread」でトレースバックし、リロードすることがある |
|
|
FPR2100-ASA が SAN フィールドで FXOS IP アドレスなしで CSR を生成できない |
|
|
FTD が appAgent メッセージの応答の処理中にプロセス名 lina でトレースバックし、リロードすることがある |
|
|
FTD HA:netsnmp_oid_compare_ll でのトレースバックとリロード |
|
|
RAVPN:ID テーブルの枯渇により SGT-IP マッピングの作成に失敗する |
|
|
FXOS で「nslookup」コマンドを実行できない |
|
|
署名キーを読み取れない(マルチインスタンス展開) |
|
|
Cisco ASA および FTD ソフトウェアの IKEv2 におけるサービス妨害(DoS)の脆弱性 |
|
|
Firepower で「show inventory」の出力に Name: "power supply 0" と表示される |
|
|
ASA が IKEv2-EAP と Windows ネイティブ VPN クライアントとの AAA 認証を開始できない |
|
|
WebVPN 接続が CLOSEWAIT 状態でスタックする |
|
|
ASA/FTD がスレッド名 PTHREAD でトレースバックし、リロードすることがある |
|
|
FPR 21xx:通常の動作中にプロセス名 lina-mps でトレースバックする |
|
|
複数の ssh セッションで「show run」を実行すると ASA CLI がハングする |
|
|
snmp-server host-group でのネットワークの重複により ASA/FTD の SNMP ポーリングが失敗する |
|
|
IP アドレスが NAME に一致する場合、「set ip next-hop」行がリロード時に設定から削除される |
|
|
有用性 :ルーティングインフラのデバッグを改善し、新しいエラー状態を追加 |
|
|
FXOS と Lina 間のクロックスキューにより、SAML アサーション処理が失敗する |
|
|
FTD が ACL の FQDN を断続的に解決しない |
|
|
「show bgp summary」メモリリークによる FTD/ASA のトレースバックとリロード |
|
|
サービスワーカーのデバッグメニュー設定を出力するコマンド |
|
|
クロックスキュー:FXOS クロックが Lina NTP 時間の約 1 ~ 10 秒から分岐する |
|
|
l2_table とサブインターフェイスの MAC アドレスが一致しないため接続に失敗する |
|
|
「flow-export delay flow-create」の設定が原因で LINA CPU の使用率が高くなる |
|
|
複数の ssh セッションから object-group への重複オブジェクト/グループオブジェクトの受け入れ |
|
|
HA 切断操作によるアクティブユニットでのトレースバックとリロード。 |
|
|
管理コンテキストの管理インターフェイスの SNMP ポーリングですべてのコンテキストの全インターフェイスを表示できない |
|
|
Cisco 適応型セキュリティ仮想アプライアンスと Secure FTD 仮想 SSL VPN における DoS の脆弱性 |
|
|
アップグレード後に ASA/FTD が拡張コミュニティ属性を誤って転送する。 |
|
|
RAVPN セッションにおける weblaunch の portal-access-rule のサポートを元に戻す |
|
|
FTD:管理インターフェイスが稼働しているにもかかわらずダウン状態と表示される |
|
|
multi-ctx モードでの TCM cfgd を使用したフェールオーバーの後に、「rule-transaction-in-progress」でトラフィックがドロップする |
|
|
高速の SIP 接続による ASA/FTD のトレースバックとリロード |
|
|
ASA/FTD:プロセス Unified2File_Read に起因するメモリ不足でリロードが発生する |
|
|
FTD HA での Snort のトレースバックによってトリガーされたフェールオーバーの後に、ステートリンクが Hello メッセージの送信を停止する |
|
|
FTD が、AAAA クエリで 1 つの DNS サーバーから拒否エラーを受信した後、タイプ A クエリを送信しない |
|
|
SA の確立/キー再生成後に ESP シーケンス番号 0 が送信される |
|
|
FTD HA のセットアップで RAVPN セッションを確立できない |
|
|
CCL MTU の設定時の警告メッセージを追加 |
|
|
FTD 外部認証用の Radius サーバーの設定が FTD に展開されない。 |
|
|
Snmpwalk で 10G 以上の値の誤ったインターフェイス速度が表示される |
|
|
VTI 復号を許可するために SGT フレーム/パケットを削除 |
|
|
アプライアンスモードの Cisco ASA Firepower における特定のタイムゾーン(GMT+1 など)の設定に関する問題 |
|
|
FTD/ASA:デバイスを通過する VPN トラフィックがトレースバックとリロードをトリガーすることがある。 |
|
|
ENH:LINA で連続して発生する AAA 障害をブロックするためのアプリケーションサポートを追加 |
|
|
バックアップ機能がマルチコンテキストモードで DAP の設定を保存/復元しない。 |
|
|
ASA/FTD:設定のロードにかかる時間が大幅に増加する |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
FTD メモリの枯渇によってトレースバックとリロードが発生する |
|
|
ASA/FTD がスレッド名「lina」を障害元スレッドに挙げてトレースバックし、リロードすることがある。 |
|
|
NAT_HARDEN:マッピングされた ifc が any として設定されていると CGNAT が中断する |
|
|
256/1550 ブロックの枯渇プロセス fover_thread |
|
|
FPR3K SFP+(10G)光ファイバ:ピア側でのリロード/フラップ/再挿入後にポートチャネルの mem intf がダウン状態になる |
|
|
EEM スクリプトで「show capture」コマンドが実行されると、FTD/LINA がトレースバックし、リロードすることがある |
|
|
42xx プラットフォームのファンの RPM しきい値を更新 |
|
|
「更新ブロックの枯渇」で CPU 使用率が高くなり、二次的な影響(Bgp フラップ、トラフィックドロップ)が生じる |
|
|
7.4.x へのアップグレード後に SGT INLINE-TAG を追加 |
|
|
IP アドレスに関連付けられた FQDN ID が設定された制限の 8 を超えると、アラート/警告をトリガーする |
|
|
ASA/FTD がトレースバックおよびリロードすることがある |
|
|
仮想 ASA/FTD がスレッド PTHREAD でトレースバックし、リロードすることがある |
|
|
SSL ポリシーの TLS1.3 復号設定が DND トラフィックに影響する。 |
|
|
HA の ASA:スタンバイデバイスの 1 つのコンテキストにおける chunk mem Failed メッセージからの alloc_ch() alloc |
|
|
診断インターフェイスの pre-CMI nameif が MANAGEMENT だと CMI が無効になる |
|
|
FTD/FxOS:設定をアップグレード/削除すると、App-instance が「Operational State: Starting」になる |
|
|
パケットトレーサの出力で data-plane access-group のドロップに「control-plane」が誤って追加される |
|
|
HTTP ベースのパスモニタリングが原因で FTD/ASA のメモリ使用率が高くなる |
|
|
Cisco ASA および FTD ソフトウェアのリモートアクセス VPN におけるサービス妨害(DoS)の脆弱性 |
|
|
HA ペアで IPv6 SSL Anyconnect アクセスがブロックされる |
|
|
21xx:デバッグログプロセスがハングし、スタック書き込み操作からの回復が妨げられる |
|
|
スタートアッププロセスで新しいログをインストゥルメント化して詳細情報を収集 |
|
|
dhcp_daemon スレッドでの FTD LINA のトレースバックとリロード |
|
|
SSP OpenSSH regreSSHion の脆弱性に対処 |
|
|
SCP の使用中に ssh/クライアントが null ポインタにヒットするために、ASA がトレースバックし、リロードすることがある |
|
|
「show module」コマンド出力のネットワークモジュールのスロットとステータスに関する情報が正しくない |
|
|
アプリケーション インスタンスが STOP_FAILED でスタックし、エラーメッセージが表示される |
|
|
HA の監視対象のインターフェイスが「待機」状態になり、その後「失敗」になる |
|
|
ファイアウォールがネゴシエーション中にフェールオーバープロンプトで state active と表示される |
|
|
FTD と FXOS:RADIUS プロトコルスプーフィングの脆弱性(Blast-RADIUS):2024 年 7 月 |
|
|
FTD:チェックサムの不一致によってポリシーの展開が失敗する。 |
|
|
障害のシミュレーション後に「show failover statistics」で障害とレコードが表示されない |
|
|
FIPS が有効な場合、トラストプールでの証明書の検証が失敗する |
|
|
LDAP を使用して FPR 2K で実行されている FTD が、ldap.conf を更新するときにバックスラッシュをスキップする |
|
|
ASA:同じデバイス上のコンテキスト間のサイト間 VPN が「ipsec-tun-down」によってトラフィックをドロップする |
|
|
pix-asa(メッセージ オーセンティケータ)に対する BlastRADIUS の脆弱性のフェーズ 1 修正 |
|
|
Cisco 適応型セキュリティアプライアンスおよび Firepower Threat Defense の TLS におけるサービス妨害(DoS)の脆弱性 |
|
|
Apache HTTP サーバー 2.4.59 以前のコアの脆弱性 |
|
|
syslog を介した CC-mode 監査の FMC が機能しない |
|
|
ASA/FTD がスレッド名 SSH でトレースバックし、リロードすることがある |
|
|
スレッド名 PTHREAD での FTDv のトレースバック |
|
|
ASA/FTD:Threat-Detection によるメモリの枯渇 |
|
|
btmp ファイルがログローテーションされないため、パーティション「/opt/cisco/config」がいっぱいになる |
|
|
FDM を介した 7.4.2 への FTD のアップグレードがブロックされる |
|
|
「ENDPOINT_TIME_OUT_OF_SYNC」エラーによって SAML 認証が完了しない |
|
|
デバイスのリロード後に ASA/FTD がプロセス名「lina」でトレースバックし、リロードすることがある |
|
|
PTHREAD-8141 spin_lock_fair_mode_enqueue での通常動作時における FTDv50 のトレースバック |
|
|
FPR 9.20 のアップグレード後にサードパーティとの S2S VPN が切断される |
|
|
クリティカルな障害:[FSM:FAILED]:ユーザー設定(FSM:sam:dme:AaaUserEpUpdateUserEp) |
|
|
ASA/FTD がスレッド名「strlen」でトレースバックし、リロードすることがある |
|
|
FTD:Lina が CONFIG_XML_REQUEST に応答せず、展開がスタックすることがある |
|
|
FTD:7.4.1 へのアップグレード後に syslog メッセージ ID 302013 にユーザー名がない |
|
|
data-path スレッドでの Lina のトレースバックとリロード |
|
|
HA が不安定になって展開が失敗する |
|
|
マルチインスタンス セットアップの共有インターフェイスで IPv6 ネイバー探索が失敗する |
|
|
FP4245:NPU アクセラレータで 100Gb インターフェイスの速度が 10Mb に変更される |
|
|
プロセス名 lina での ASA/FTD のトレースバックとリロード |
|
|
メモリ使用率が増加して Lina でトレースバックが発生する。 |
|
|
FTD クラスタが inline-set で展開されている場合、クラスタの syn cookie 復号を無効にする |
|
|
生成された Crypto チェックサムが設定変更なしで変更される |
|
|
ポートチャネル メンバーシップまたはメンバーステータスの変更により、定期的な OSPF/EIGRP 隣接関係フラップが発生することがある |
|
|
リブートのたびに ASA syslog で CGroups エラーが発生する |
|
|
ldap.conf がホスト名を使用して生成されない |
|
|
show コマンドを実行しようとすると、FTD CLISH/CLI がロックされる |
|
|
NAT 未変換での予期しない動作により、SIP トラフィックが影響を受ける。 |
|
|
GTP インスペクション中に、23、24、25 の IE タイプに対する無効な長さによる誤ったドロップが発生する |
|
|
ASA/FTD がスレッド名「fover_parse」でトレースバックし、リロードすることがある |
|
|
CSF 3100 シリーズが停電後にリブートせず、手動での電源の再投入が必要になる |
|
|
ユーザーが WebVPN のブックマークをクリックすると、ブラウザが空白のページにリダイレクトする |
|
|
ASA の OSPF ルーティングテーブルがネイバーと正しく同期されない |
|
|
SAML の強制再認証において、接続の再試行時にユーザーにログイン情報の再入力が強制されない |
|
|
Firepower デバイスの前面パネルとアップリンクポートの FXOS MTU 処理に改善が必要 |
|
|
SAML アサーション属性の複数のグループポリシーを受け取ると、デフォルトのグループポリシーが適用される |
|
|
FTD:マルチインスタンスの docker0 インターフェイスがプライベートネットワーク 172.17.0.0/16 と重複する |
|
|
設定したアルゴリズムとは関係なく、FTD による SAML 認証要求が常に Sha1 によって署名される |
|
|
object-group と他のプレーン ACL が含まれる 1 つの AC ルールでブート時間が長くなる |
|
|
LINA がスレッド名 Datapath with NAT config でトレースバックすることがある |
|
|
FPR3100:インターフェイスが半二重に移行することがあり、速度が 100mbps にハードコードされる |
|
|
FTD のセカンダリユニットが一括同期状態でスタックする。 |
|
|
ポートマネージャと lacp の同期がプログラム的に行われない |
|
|
ASA/FTD が無効なネットマスクを持つローカル IP プールを許可する |
|
|
FTD/ASA:Nexus 9K スイッチに接続されている場合、FP3100 の 1SXF インターフェイスがリンクダウン状態のままになる |
|
|
PDTS の書き込み/読み取りブロックをキャプチャして根本原因 CSCwm36314 の解決をサポートするための有用性 |
|
|
FTD/ASA が DATAPATH スレッドでトレースバックし、リロードすることがある |
|
|
IKE_AUTH がない場合、ダイナミックサイト間トンネルが IN-NEG 状態でスタックする |
|
|
FTD インラインセットが挿入/書き換えのリバースフラグを無視する |
|
|
Cisco 適応型セキュリティ アプライアンス ソフトウェアの SSH サーバーリソースにおける DoS の脆弱性 |
|
|
展開時に FXOS 障害 F1738 が発生し、エラー CSP_OP_ERROR が表示される。CSP 署名確認エラー |
|
|
回帰のために CSCwk63011 で変更が元に戻された後、show mod 機能を修正する必要がある |
|
|
Cross-Origin-Opener-Policy が誤って設定されている |
|
|
メモリ破損が検出されたことによる ASA のトレースバックとリロード |
|
|
sma 2nd cruz ハートビートのロギングを強化 |
|
|
ASA/FTD:VTI とサブインターフェイスで IPsec オフロードが有効になっていると、インバウンド IPsec パケットがドロップされる |
|
|
両端の Innolight QSFP で 100GB インターフェイスがフラップする |
|
|
FXOS:通知デーモンメッセージが大量に届いてメッセージが 40 分ごとにローテーションする |
|
|
「パスワード暗号キーが設定されていません。(The password encryption key has not been set.)」という障害を除去またはクリアできない |
|
|
ASA/FTD がスレッド名「fover_parse」でトレースバックし、リロードすることがある |
|
|
TPK Low End FPR3100:インターフェイス速度を 1g から 100mbps/100mps から 1g に変更するとリンクがダウンする |
|
|
show run access-list コマンドが警告を返す |
|
|
クラスタリング データ ユニットで SQLNet トラフィックが断続的にドロップされる。 |
|
|
ASA/FTD:RA VPN トンネルによってメモリリークが発生し、トレースバックとリロードが行われる |
|
|
FTD:FTD HA フェールオーバーイベント後に BGP の advertised-routes にルートがない |
|
|
Po メンバーインターフェイスがフラップした後に互換性のないメンバーに関する警告メッセージが表示され、Po に再参加できない |
|
|
スレッド snmp_inspect での ASA のトレースバックとリロード |
|
|
APCF ファイル使用中のスタックオーバーフローによる ASA のトレースバックとリロード |
|
|
PDP の gtpv1 エンドマーカーメッセージを処理しているときに、ASA がスレッド DATAPATH でトレースバックし、リロードする |
|
|
NAT トラップのレートの制限が必要 |
|
|
キャプチャコードの無条件実行により、マルチコンテキストクラスタのセットアップで CPU 使用率が高くなる可能性がある |
|
|
ASA/FTD が DATAPATH-1-20757 でトレースバックし、リロードすることがある |
|
|
フェールオーバーに参加するときに、ASA/FTD がスレッド名「IKEv2 Daemon」でトレースバックし、リロードすることがある |
|
|
4200/3100/1200 ハードウェアで AppAgent タイマーを変更できる |
|
|
「no capture /all」によってバックエンドでキャプチャを完全に無効にできず、データパス CPU の使用率が高くなる |
|
|
GTP インスペクションがエラー ERROR-DROP:MsgType:32 でパケットをドロップする |
|
|
7.4.2.1 へのアップグレード後に FTD HA スタンバイが繰り返しリロードする |
|
|
リブートまたはトレースバック後にデータインターフェイスの DNS を介して FQDN が解決されない |
|
|
「IP RIB Update」スレッドを指す LINA コアがある |
|
|
リセットボタンを押した後に FTD デバイスが rommon モードでスタックする |
|
|
クラスタがユニットに対して誤った NAT を割り当てており、トラフィックがユニットに適切に転送されない |
|
|
高速の SIP 接続による ASA/FTD のトレースバックとリロード |
|
|
FIN の ACK を受信した後に TCP 接続がハーフクローズとしてフラグ付けされない。 |
|
|
priority-queue によるメモリブロック 80 および 9344 のリーク |
|
|
セッション作成応答の原因タイプが 18 の場合、GTP インスペクションで GTP データパケットが許可されない |
|
|
クラスタインターフェイスでキャプチャが有効になっている場合、設定されたルールとともに常に CCL IP が含まれる |
|
|
ASA/FTD がスレッド名「SSH Ctxt Thread」でトレースバックし、リロードすることがある |
|
|
FPR9K-SM-56 モジュールが断続的にロックアップし、トラフィックに影響を与える。 |
|
|
9.20.2.21 からターゲットバージョン 9.20.3.4 への ASA のアップグレードが失敗する |
|
|
暗号化後の追加の Route-Lookup を回避するために VTI トンネル送信元インターフェイスに ESP をバインドする |
|
|
拡張 PAT の有効化後にトレースバックとリロードを行う FTD クラスタ |
|
|
ASA/FTD がスレッド名「ldap_client_thread」でトレースバックし、リロードすることがある |
|
|
swapcontext 機能のトレースバックによる FTD のリロード |
|
|
以下の FTD ロギングの syslog サーバーが最初の syslog サーバーの emblem 設定に従ってホスト名情報を送信する |
|
|
ASA/FTD がスレッド名「cli_xml_request_process」でトレースバックし、リロードすることがある。 |
|
|
メモリフラグメンテーションにより、lina で大きなページを使用できなくなる |
|
|
管理者ユーザーは、外部サーバーへの認証のときにローカルパスワードの変更を求められる |
|
|
HA が、コールドスタンバイから障害状態に移行する間にデータインターフェイスを起動する |
|
|
ASA がスレッド名「ssh」でトレースバックし、リロードすることがある |
|
|
FTD:Management0/0 のステータスがダウンになり、アップグレード後にラインプロトコルがアップ状態になる |
|
|
GTPv2 IE タイプ 157(シグナリング優先順位表示)が不明な IE タイプとしてドロップされる |
|
|
頻繁なルート更新によってルートが削除され、障害が発生する |
|
|
「no pim」または「no igmp」設定を含めると、ASA のブートプロセスがフリーズすることがある |
|
|
Radius パケットが原因となり、FTD/ASA が展開中/Radius の変更中にトレースバックし、リロードすることがある |
|
|
ジャンボフレームパケットがフラグメント化されている |
|
|
Radius ユーザーの ssh ログインが失敗し、エラー「ユーザー名が有効なサービスタイプで定義されていません(username is not defined with a service type that is valid)」が表示される |
|
|
FTD がスレッド名「FPRLI_FPR4K-SM-32」でトレースバックし、リロードすることがある |
|
|
スレッド名 Datapath でのトレースバックとリロード |
|
|
9.20.3.7 へのアップグレード後に監視対象のインターフェイスが待機状態になることがある |
|
|
DNS 応答で TC ビットセットを受信した後でも、ファイアウォールが TCP 要求を開始しない |
|
|
複数の Unicorn Admin Handler プロセスが、すべてのコントロールプレーンの CPU を消費する。 |
|
|
フェールオーバー時に FXOS でプライマリ FTD インスタンスの MAC アドレスが正しく更新されない |
|
|
スタンバイの 8305 の NAT 迂回がフェールオーバー後に更新されないため、プライマリのスタンバイ FTD が FMC でオフラインと表示される |
|
|
SNMP ウォークが IP アドレスではなく IPSEC ピアの ASCII 値になる。 |
|
|
FTD 展開のレジリエンス:クリティカルでない/存在しないコマンドをスキップして展開の失敗を回避。 |
|
|
HA は、copy/config-sync/rollback の進行中にフェールオーバー要求を受け入れないようにする必要がある |
|
|
MI:データ共有インターフェイスで有効になっている場合、トラフィックがセカンダリ FTD に到達できない |
|
|
MI:仮想 MAC が設定されている場合、Vlan 情報が FXOS レベルで適用されない |
|
|
freeb_core_local_internal での ASA のトレースバックとリロード |
|
|
分散セカンダリフロー接続を処理する非オーナーユニットでのフォワーダーフローの導入 |
|
|
FXOS:Download コマンドが HTTP および HTTPS GET 要求に対して追加の「/」を生成する |
|
|
S2S VPN トンネルの子 SA の再ネゴシエーションが失敗する |
|
|
ASA 21xx:「sh environment temperature」に誤った温度値が表示される |
|
|
LINA で Netflow が設定されたランダムトレースバックが確認されることがある |
|
|
FPR 1100/2100/3100 のクリティカルな正常性アラート「user configuration(FSM.sam.dme.AaaUserEpUpdateUserEp)」 |
|
|
ASA 9.20.3.4 を実行しているクラスタメンバーでトレースバックが確認される |
|
|
ASA 9.18.4.22(FPR 2130 プラットフォームモード)へのアップグレード後に FCM GUI にアクセスできなくなる |
|
|
BVI との arp permit-nonconnected の設定時にスレッド名 Lina でトレースバックする |
|
|
ASA:ネクストホップの ARP エントリなしで接続が作成された場合、floating-conn で UDP 接続が閉じられない |
|
|
unicorn zlib ライブラリで報告された CVE に対処 |
|
|
show blocks old core local を使用すると、予期しないリロードが発生する可能性がある。 |
|
|
アジア/バンコクのタイムゾーンオプションが、firepower1k で実行している ASA に表示されない |
|
|
設定時にバナー motd が表示されない |
|
|
SSH は管理コンテキストで動作するものの、ssh key-exchange を変更するとユーザーコンテキストで動作しない |
|
|
到達不能な LDAP/AD を照会すると、FTD の外部認証で遅延またはタイムアウトが発生することがある |
|
|
設定可能なオプションとして SVC Rx/Tx キューが必要 |
|
|
CiscoSSH が有効な場合に ASA を搭載した ISA3000 が SSH アクセスを拒否する |
|
|
RTSP パケットが送信キューでスタックして 9k ブロックが枯渇する。 |
|
|
SNMP インスペクションが有効になっている場合のメモリ破損によるトレースバックとリロード |
|
|
「spin_lock_fair_mode_enqueue」による Lina のトレースバックとリロード |
|
|
クイックコア機能に切り替えてもコア破損が引き続き発生する |
|
|
RA VPN に関連する SNMP OID のポーリングが原因となり、ASA/FTD のメモリ使用率が高くなる |
|
|
WM-DT-7.7.0-40:デバイスコンソールでスイッチの設定の失敗とスイッチの Mac エラーが確認される |
|
|
「show chunkstat top-usage」の出力にすべてのエントリが表示されないことがある |
|
|
ASA/FTD がスレッド名「DATAPATH」でトレースバックし、リロードすることがある |
|
|
受信した CRL がキャッシュされた CRL より古い場合に syslog を生成 |
|
|
受信した CRL 署名の検証が失敗した場合に syslog を生成 |
|
|
ASA:スレッド名 SSH でのトレースバックとリロード |
|
|
FTD が VPN ヘアピンのない VPN ルーティングとして syslog 430002 を生成する |
|
|
クラスタ内の FTD データユニットでトレースバックとリブートが発生する |
|
|
デバッグ可能性:アップグレード後に FP2100 ポートチャネル インターフェイスがフラップする |
|
|
不正なウィンドウサイズ情報を受信したために、Snort3 が無効なシーケンス番号でパケットをトリミングする |
|
|
アップグレード前に設定されている場合、VNI 送信元 MTU がアップグレード後に IPv6 に認識されない |
|
|
コミュニティリストは、リストの最後の項目が削除されるまでエラーをスローしない必要がある |
|
|
メモリ破損による DATAPATH スレッドでの ASA のトレースバックとリロード |
|
|
有用性強化:FXOS ディスクエラーをよりわかりやすくする |
|
|
Unicorn Proxy スレッドでのトレースバックにより、ASAv が予期せずリロードする |
|
|
ローカルへのコマンド承認のフォールバックが特権 15 のユーザーに対してのみ機能する。 |
|
|
snort 障害中にピアユニットが準備完了状態になる前に、アクティブな HA ユニットが障害状態になる |
|
|
4096 ビットの RSA キーを持つ SSL トラストポイントが、CLI で更新されると ASA で許可されない |
|
|
FQDN を無効化した後の展開中のトレースバックとリロード。 |
|
|
EEM によるデバッグの有効化が失敗する |
|
|
ASA/FTD がスレッド名「lina_exec_startup_thread」でトレースバックし、リロードすることがある |
|
|
マルチコンテキストモードで mac-address auto を再度有効にすると、クラスタ内のデータノードに再度参加できない |
|
|
カスタム設定に対してポートスキャンアラートが生成されない |
|
|
Radius を使用した認証/承認のときに FTD が「0.0.0.0」NAS-IP-Address 属性を送信する |
|
|
debug packet-condition が期待どおりに機能しない |
|
|
FPR 4200 シリーズでのリロードまたはアップグレード後における Management0 から Management1 へのデフォルトルートの変更 |
|
|
ネイバーとのルートの追加/更新/取り消しに対するデバッグを強化 |
|
|
有用性強化:高度なデバッグ用の新しい「show bgp internal」コマンド |
|
|
メモリ不足状態時のスレッド DATAPATH-1-23988 でのトレースバックとリロード |
|
|
メモリリークが原因でスプリットブレインが発生 |
|
|
ARP が到達不能なネクストホップのパケットをひそかにドロップする |
|
|
SecGW:データノードが cluster_ccp_make_rpc_call failed to clnt_call エラーでクラスタに参加できない |
|
|
ポートチャネルメンバーのインターフェイスがフラップによって非アクティブなメンバーになる |
|
|
ASA がスレッド名「fover_parse」でトレースバックし、リロードすることがある |
|
|
スレッド名 Unicorn Admin Handler でのトレースバックとリロード |
|
|
logging recipient-address でロギングメールメッセージのシビラティ(重大度)レベルが上書きされない |
|
|
DNS とデフォルトゲートウェイが、データインターフェイスを介して管理される FTD で削除される |
|
|
Warwick Avenue:MGMT 1/2 インターフェイスがダウン状態の場合、LLDP ネイバーが検出されない |
|
|
9344 ブロックのリークによるトラフィック障害 |
|
|
「${dsk_a} がないか操作できません。ブレードをリブートしています。(${dsk_a} missing or inoperable. Rebooting Blade.)」というエラーにより、不足しているか操作できないディスクが指定されない。 |
|
|
FTD:snort によって検査されるパケットの大規模な遅延 |
|
|
checkSystemCPUs 障害により、論理アプリケーションが「Start Failed」でスタックする |
|
|
FTD HA | ポートチャネルの同じ MAC が原因でネットワーク障害が発生する。 |
|
|
snmp_logging_thread がコントロールプレーンの CPU を多く使用している |
|
|
リロード後に FPR1010 Ethernet1/1 トランクポートで Vlan トラフィックが渡されない |
|
|
FPR3100:ピアスイッチのリロードによって、またはアップグレード後にインターフェイス mac のスタックの問題が発生する |
|
|
無関係な BFD ピアがダウンした後、ASA が着信 BFD パケットを処理しないことが原因で BFD がフラップする |
|
|
SNMP エージェントとして使用される HA の FTD マルチインスタンスでシャーシへの SNMP ポーリングが失敗する |
|
|
SNMP 設定が同じ FTD のタイプとバージョン間で一貫して適用されない |
|
|
「低」に設定されている場合、FMC のポートスキャンイベントで誤った送信元/宛先が表示される |
|
|
ユニットがクラスタに再参加するときのスレッド名 DATAPATH でのトレースバック |
|
|
代替パス経由で受信したシングルホップ BFD セッションで BFD パケットがドロップされない |
|
|
ローカルユーザーの詳細がクラスタセットアップのデータノードに複製されない。 |
|
|
ASDM:アイデンティティ証明書を追加するときに、キーペアがすでに存在するというエラーが表示される |
|
|
DATA ノードがまだ一括同期状態のときに BGP が即座に起動する L3 クラスタリング |
|
|
バックアウトの変更により、FIPS モードでクラスタリングを有効にできない |
|
|
宛先に object-group type network-service が含まれているときに、トラフィックが想定される ACL と一致しない |
|
|
ASAv が予期せず再起動する |
|
|
非 CP スレッドでのトレースバック後に LINA がリロードせずに非アクティブのままになる |
|
|
ACL:AAA 承認コマンドが適用された後に、ASA で「OOB アクセスリストの設定の変更が検出されました(OOB Access-list config change detected)」という誤った警告が表示されることがある |
|
|
機能 mp_percore での ASA/FTD のトレースバックとリロード |
|
|
ASA のトレースバックとリロード |
|
|
Hyper-V で実行している ASA を 9.20.3.9 から 9.20.3.16 にアップグレードした後に CPU 使用率が高くなる |
|
|
クライアントレス VPN のファイルパスに日本語テキストを使用したファイルのアップロードに対して、誤った URL が表示される |
|
|
「show cluster info load-monitor details」を使用すると、バッファドロップに対して負の値が表示される |
バージョン 9.20(3) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
Firewall Threat Defense で syslog メッセージ 852001 および 852002 を削除 |
|
|
ASA が SNMP の NAT ルールの作成に失敗し、「NAT がポートを予約できない」というエラーが表示されることがある。 |
|
|
Cisco ASA および FTD ソフトウェアの RSA 秘密キーリークの脆弱性 |
|
|
根本原因を問わない RSA 秘密キーのリークの防止。 |
|
|
データパスプロセスでの ASA のトレースバックとリロード |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA/FTD:GTP インスペクションロギングの改善 |
|
|
ASA/FTD:GTP インスペクションエンジンの有用性 |
|
|
「kill」コマンドのラッパーが作成されて、呼び出し元がログに記録される |
|
|
FTD:コマンド実行が LINA プロンプトをロックしているため CLISH が遅くなる |
|
|
ASA/FTD クラスタ:「cluster replication delay」を変更して、最大値を 15 秒から 50 秒に増やす |
|
|
Cisco ASA および FTD のリモートアクセス SSL VPN 認証における標的型サービス妨害(DoS)の脆弱性 |
|
|
Cisco ASA および FTD のリモートアクセス SSL VPN 認証における標的型サービス妨害(DoS)の脆弱性 |
|
|
asp load-balance per-packet auto が使用されていると、ファイアウォールリングがスタックしてパケット損失が発生する可能性がある |
|
|
バンドルされている FXOS アップグレードで PSEQ(Power-Sequencer)ファームウェアをアップグレードできない場合がある |
|
|
ASA:無効な TEID=0 が原因で GTP インスペクションが「PDP コンテキスト削除応答」メッセージをドロップする |
|
|
/opt/cisco/platform/logs/messages への ssp-multi-instance-mode メッセージの過剰なロギング |
|
|
スレッド DATAPATH での ASA/FTD のトレースバックとリロード |
|
|
ASA:ISA3000 が entPhySensorValue OID SNMP ポーリングに応答しない |
|
|
アップグレード後に、管理 UI にカスタム CA 署名付き証明書ではなく自己署名証明書が表示される |
|
|
VTI トラフィックのネクストホップに不適切な終了インターフェイスが選択される |
|
|
Lina CiscoSSL の 1.1.1v および FOM 7.3a へのアップグレード |
|
|
FTD 7.0.4 クラスタで、tcp-not-syn が原因で Oracle の sqlnet パケットがドロップされる |
|
|
マルチコンテキスト環境のプライマリアクティブ ASA ユニットで SNMP が機能しない |
|
|
LinaConfigTool と xml サーバー間のメッセージ交換に関するロギングの改善 |
|
|
ASA:シングルモードからマルチモードへの切り替え時のトレースバックとリロード |
|
|
ASA/FTD:各 NLP NAT ルールの 1 秒のフェールオーバー遅延 |
|
|
ASA の「pager line 25」コマンドが一部の端末アプリケーションで期待どおりに機能しない |
|
|
ssl パケットのデバッグが有効になっている場合、FTD/ASA のトレースバックとリロードが発生することがある |
|
|
2100:ポートチャネルのメンバーとしてインターフェイスを削除後、FTD にインターフェイスが表示されない |
|
|
ASA/FTD がスレッド名「dns_cache_time」でトレースバックし、リロードすることがある |
|
|
「asa_log_client が 1 回終了(asa_log_client exited 1 time(s))」というメッセージが複数回表示される |
|
|
リブート後に FPR2100 プラットフォームで設定された将来の日付が反映されない(クロックを手動で設定) |
|
|
ASA が「warmstart」SNMP トラップを送信しない |
|
|
MPLS トンネルの再アセンブルでフラグメント化された UDP パケットが失敗する |
|
|
32k オブジェクト ID の制限に達していないにもかかわらず、NAT プールが正常に機能しない。 |
|
|
6.6.5 から 7.2.5 への FTD のアップグレードで OGS が削除され、ブート時にルールが拡張される |
|
|
LINA show tech-support が sf_troubleshoot.pl(トラブルシューティング ファイル)の一部として生成されない |
|
|
「match ip address test」を設定および設定解除すると、トレースバックが発生することがある |
|
|
VRF が設定されていると Firepower WCCP router-id がランダムに変わる |
|
|
FTD:プロセス名 lina でのトレースバックとリロード |
|
|
ASA:CLI を使用して設定を復元する際のトレースバックとリロード |
|
|
WM DT:トランスペアレントモードの ASA が、すべてのノードに等しい IPv6 ルータ アドバタイズメント パケットを送信しない |
|
|
ルータから送信されたコミュニティストリングが ASA と一致しない |
|
|
ウォッチドッグ時間がデフォルトの 15 秒を超えているため、ASA/FTD がトレースバックし、リロードすることがある |
|
|
CSF 4200:PSU ファン速度がクリティカル |
|
|
CPU プロファイリング中に match_partial_keyword で ASA がトレースバックする |
|
|
ASA:クラスタ設定で「show nat pool detail」コマンドを実行すると、トレースバックとリロードが発生する |
|
|
ASA/FTD HA ペアの EIGRP ルートがフェールオーバー後にフラッシュされる |
|
|
ASA/FTD:スレッド名 CP Crypto Result Processing でのトレースバックとリロード |
|
|
FPR4200/FPR3100-cluster において、デバイスのリブート時に確認されるコアファイル ?core.lina? を確認。 |
|
|
FTD:スレッド名 cli_xml_request_process でのトレースバック |
|
|
ファイアウォールが誤解を招く SCP ファイルのコピーの失敗理由を表示する |
|
|
ソフトウェアのアップグレード後に crypto_archive ファイルが生成される。 |
|
|
ciscossh スタックを使用した SCP 経由のファイルコピーが「該当するファイルまたはディレクトリがありません(no such file or directory)」というエラーで失敗する |
|
|
最後のルールのヒット時に ASA と ASDM の現在時刻より前の 16 進数値が表示される |
|
|
スレッド名 Lina で予期しないトレースバックが発生し、デバイスがリブートされる |
|
|
GTP 接続が特定の状況下で clear conn を発行してもクリアされない。 |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
データパスが占有され、クラスタリングユニットがクラスタから除外される |
|
|
データインターフェイスがゲートウェイとして使用されている場合、管理 DNS サーバーに到達できないことがある |
|
|
ASA:多くのトラフィックフローと syslog メッセージのテスト中にトレースバックとリロードが発生する |
|
|
ASA/FTD がスレッド名「DATAPATH-34-17852」でトレースバックし、リロードすることがある |
|
|
PTHREAD-3587 での FTD VMware のトレースバック |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
FTD が同じフローイベントに対して複数の複製された NetFlow レコードを送信する |
|
|
FTD 1120 がスタンバイ中に突然リブートする |
|
|
snmp-server host が指定されていると SNMP が応答しない |
|
|
トリガーポイントなしの FP2140 でのトレースバック |
|
|
クロス IFC アクセス:PING を以前の非クロス IFC 動作に戻す |
|
|
スクリプト 999_finish/999_zz_install_bundle.sh で FTD アップグレードが失敗する |
|
|
ASA:HA 同期 ACL-DAP 中にスタンバイデバイスをトレースバックする |
|
|
AnyConnect 証明書認証/承認を使用した場合の証明書エンコーディングの問題 |
|
|
スレッド DATAPATH での ASA/FTD のトレースバックとリロード |
|
|
FTD OSPFV3 IPV6 ルーティング:FTD がサポートされていない拡張 LSA 要求をネイバールータに送信する |
|
|
Cisco ASA webvpn XSS の脆弱性 |
|
|
スレッド名 DATAPATH-8-17824 での ASA クラスタのトレースバック |
|
|
FP3140 でハードウェアバイパスが期待どおりに機能しない |
|
|
Config-url が設定ファイルとしてディレクトリを受け入れる |
|
|
ASA/FTD:スレッド名「Unicorn Proxy Thread」でトレースバックし、リロードすることがある |
|
|
ACL 設定変更中の ASA のトレースバックとリロード |
|
|
Cisco ASA および FTD ソフトウェアにおける Inactive-to-Active ACL のバイパスの脆弱性 |
|
|
SSH スレッドに起因するファイアウォールのトレースバックとリロード |
|
|
ASA/FTD がスレッド名「DATAPATH-13-6022」でトレースバックし、リロードすることがある |
|
|
アップグレード中に FTD/ASA が PKI でトレースバックし、リロードすることがある |
|
|
フェーズ 2 の廃止された暗号を使用した VPN load-balancing クラスタ暗号化 |
|
|
9.16.3.23 コードのウォッチドッグに起因して、ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
Cisco ASA ソフトウェアと FTD ソフトウェアの SNMP におけるサービス妨害攻撃に対する脆弱性 |
|
|
RAVPN OID ポーリングによる SNMP が原因で ASA/FTD のメモリ使用率が高くなる |
|
|
TAP モードを有効にすると、FTD が展開中に data-path でトレースバックすることがある |
|
|
FailSafe 管理者パスワードがシステムコンテキストの有効化パスワードと正しく同期されない |
|
|
ASA:大規模な設定が原因で論理デバイスがフェイルセーフモードでブートすることがある |
|
|
ポートマネージャ用に生成されたコアでデバイス/ポートチャネルがダウンする |
|
|
「ip verify reverse-path」が設定されている場合、ASA が IPSEC トラフィックを誤ってドロップする |
|
|
ASA:1 つのコンテキストで route-map を変更すると他のコンテキストに影響する |
|
|
ASA SNMP OID cpmCPUTotalPhysicalIndex が CPU インデックス値ではなくゼロの値を返す |
|
|
FPR-1K で LINA がランダムにトレースバックとリロードを生成する |
|
|
TCP 443 の古い asp エントリがデフォルトポートの変更後もスタンバイのままになる |
|
|
プレフィックスリストを使用した OSPF 再配布ルートマップがアップグレード後に機能しない |
|
|
PSU ファンが、正常に動作しているときに show environment の出力でクリティカルと表示される |
|
|
FTD ADI デバッグで SAML 認証セッションの誤った server_group および/または realm_id が表示されることがある |
|
|
ASA/FTD:SSL VPN の第 2 要素フィールドが非表示になる |
|
|
最初の属性が欠落している場合、Username-from-certificate のセカンダリ属性が抽出されない |
|
|
cli_firstboot がブートストラップ設定のマルチインスタンスをインストールすると、ipv6 テーブルフラッシュの例外が発生する |
|
|
ASA:Snmpwalk で OID ceSensorExtThresholdValue に「そのようなインスタンスはありません(No such Instance)」と表示される |
|
|
TLS1.3:コア復号ポイントが tls_trk_try_switch_to_bypass_aux() になる |
|
|
SMA で SIGTERM ではなくキルツリー機能を使用 |
|
|
操作中に sub-interfce の管理状態が変更された理由に関連する詳細なロギング |
|
|
FDM から FMC へのポリシー適用が失敗する |
|
|
最適ではないルックアップ時の DCE/RPC トラフィックのヘアピニング |
|
|
ASA/FTD:show tech を実行しており、メモリ使用率が高い状態だとトレースバックとリロードが発生する |
|
|
Cisco Firepower Threat Defense ソフトウェアにおける TCP Snort 3 検出エンジンのバイパスの脆弱性 |
|
|
ASA を 9.18.2 以降のバージョンにアップグレードした後 に RADIUS トラフィックが通過しない |
|
|
ASA/FTD がスレッド名 IKEv2 Daemon でトレースバックし、リロードすることがある |
|
|
スレッド名 DATAPATH での ASA のトレースバックとリロード |
|
|
ヘッダー長が IE タイプ 152 で無効なため、GTP インスペクションが IE 152 のパケットをドロップする |
|
|
メモリ/負荷が低いため SNMP でトレースバックが発生する |
|
|
fqdn トラフィックによる Snort3 のトレースバック |
|
|
ASA/FTD:SAML を使用した DNS ロードバランシングが VPN ロードバランシングで機能しない |
|
|
ASA/FTD:クラスタが PAT IP 宛ての無効なパケットに対して誤って syslog 202010 を生成する |
|
|
FTD が二重タグ付き BPDU をドロップする。 |
|
|
インターフェイスのステータスを変更すると、FTDv がスレッド名「PTHREAD-3744」でトレースバックし、リロードすることがある |
|
|
ASA がスレッド名 pix_flash_config_thread でトレースバックし、リロードする |
|
|
スレッド名 Datapath での ASA/FTD のトレースバックとリロード |
|
|
FPR-4112 で 7.2.2 を実行するスタンドアロン FTD において、SNMP モジュールでトレースバックが発生する |
|
|
access-list がすでに参照されている場合に、サービスの object-group protocol タイプの不一致エラーが表示される |
|
|
100 を超える environment-data とデータユニットを同期できない |
|
|
SSL プロトコル設定で FDM GUI 証明書の設定が変更されたり、TLSv1.1 が無効になったりしない |
|
|
ASA/FTD:アップグレード後も Firepower 1010 デバイスでポートチャネルがダウンしたままになる |
|
|
インターフェイス フラグメント キューがフラグメント データベース サイズの 3 分の 2 でスタックすることがある |
|
|
カットスループロキシ機能を使用すると、未認証のトラフィックが大量に発生して CP CPU がスパイクする |
|
|
フェールオーバーグループの変更後に、スタンバイのスレッド名「fover_parse」で ASA のトレースバックとリロードが発生する |
|
|
FXOS logrotate ユーティリティへのインターフェイス idb ロギングログローテーション |
|
|
RAVPN SAML:FTD/ASA がアサーションの解析に失敗すると、外部ブラウザで誤解を招くメッセージが表示される |
|
|
「ファイアウォール プリプロセッサによってブロックされた」という理由で SMB トラフィックがブロックされる |
|
|
cdFMC によって管理される 7.2.6 KP2110 上の複数の lina コア |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
CVE-2023-51385(シビラティ(重大度)中)9.6 より前の OpenSSH の ssh で OS コマンドインジェクションが発生することがある |
|
|
SSH セッションでデバッグを有効にできない |
|
|
特定の OpenSSH 拡張機能を備えた SSH トランスポートプロトコル(CVE-2023-48795) |
|
|
SSL/DTLS のトラフィックの処理に関連する ASA/FTD のトレースバックとリロード |
|
|
トレースバックとリロードにつながる SNMP での Null ポインタの逆参照 |
|
|
ASA/FTD がスレッド名「appAgent_monitor_nd_thread」と RIP: _lina_assert でトレースバックし、リロードすることがある。 |
|
|
機能 HA に関するトレースバックとリロード |
|
|
DHCPv6:スレッド名 DHCPv6 CLIENT での ASA のトレースバック。 |
|
|
Victoria CE でポートチャネルを作成しているときに(速度に互換性がなく一時停止したという)警告メッセージが表示される |
|
|
ASA/FTD がスレッド名「webvpn_task」でトレースバックおよびリロードすることがある |
|
|
eddsa が kex hostkey として使用されている場合に ASA への ssh アクセスでエラーログが生成される |
|
|
IP を設定する前に SNMP ホストを設定すると、snmpd が繰り返し再起動する |
|
|
ASA/FTD:フェールオーバーに起因するメモリリークにより、同期されていない Cisco Umbrella のフローが原因で dnscrypt キーキャッシュが解放されない |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
VTI がループバックから送信される場合の断続的なパケット損失 |
|
|
ファイアウォールが疑似スタンバイモードで App Sync エラー状態になり、アクティブユニットからの IP を使用する |
|
|
SSL ポリシーの decrypt all が使用されている場合、「Stream: TCP normalization error in NO_TIMESTAMP」が表示される |
|
|
アクティブ HA からスタンバイ HA に移行するときに、ASA/FTD がスレッド名 IKEv2 Daemon でトレースバックし、リロードする |
|
|
スタンバイ FTD で定期的にトレースバックとリロードが発生する |
|
|
tmatch のための解放メカニズムがないことによるメモリの枯渇 |
|
|
トランスペアレント ファイアウォール MAC フィルタで STP-UplinkFast dst MAC のフレームが一貫してキャプチャされない |
|
|
FP2100/FP1000:リロード後に Cisco ASA スマートライセンスが失われる |
|
|
設定の問題に起因して、ASAv デバイスで ASDM の接続が失われるという問題が確認される |
|
|
IKEv2 クライアントサービスが有効にならず、XML プロファイルがダウンロードされない |
|
|
NAT ポリシーを追加した後、データパスで FTD/Lina が HA ペアのトレースバックとリロードを実行する |
|
|
セキュリティ インテリジェンスから Cisco Umbrella DNS ポリシーを削除すると、ポリシーの展開が失敗する |
|
|
FXOS 経由で設定された場合、FTD 上のタイムゾーン形式が正しくない |
|
|
複数の SSH で「show run」を実行すると ASA CLI がハングする |
|
|
TLS サーバー識別:「show asp table socket」の出力に複数の TLS_TRK エントリが表示される |
|
|
SSH セッションでデバッグを実行しているときに、プライマリユニットでトレースバックとリロードが発生する |
|
|
Cisco ASA および FTD ソフトウェアのコマンドインジェクションの脆弱性 |
|
|
FTD/ASA システムクロックが 2023 年にリセットされる |
|
|
クライアントレス SSL VPN 経由での Web サイトへのアクセスが失敗する |
|
|
環境 FXOS DME MIB(.1.3.6.1.4.1.9.9.826.2)の ASA SNMP ポーリングが失敗する |
|
|
リブート後に「crypto ikev2 limit queue sa_init」がリセットされる |
|
|
FTD:syslog メッセージにホスト名がない |
|
|
FTD SNMP OID 1.3.6.1.4.1.9.9.109.1.1.1.1.7 で SysProc Average に対して常に 0% が返される |
|
|
ソフトウェアのアップグレード後に非管理コンテキストへの SSH/SNMP 接続が失敗する |
|
|
ファイアウォールで FIPS CC が有効になっていると、Chromium ベースのブラウザで SSL 接続の競合が発生する。 |
|
|
Cisco ASA および FTD の FXOS CLI ルート権限エスカレーションの脆弱性 |
|
|
nlp_int_tap でキャプチャを設定してコンテキストを削除した後の ASA のトレースバックとリロード |
|
|
vni_idb_get_mode での FTD のトレースバックアサートとリロード |
|
|
Cisco ASA および FTD ソフトウェアの永続的なローカルコード実行の脆弱性 |
|
|
ポリシー展開の失敗のロールバックにより、FTD デバイスが再設定されない |
|
|
同じ engineID を 2 回入力したときの ASA Checkheaps のトレースバック |
|
|
ISP2 がダウンしている場合のスポークデュアル ISP における ISP1 フラッピングに関連する VTI トンネル。 |
|
|
DHCP サービスを開始できなかったことに起因する管理トラフィックの断続的な損失 |
|
|
GTP スピンロックアサーションに起因して、ASA/FTD がスレッド名 DATAPATH でトレースバックし、リロードすることがある |
|
|
ASA の 9.16 から 9.18 へのアップグレードにより、余分なスラッシュ「\」が追加されて AAA ldap 属性値が変更される |
|
|
Cisco ASA および FTD ソフトウェアの永続的なローカルコード実行の脆弱性 |
|
|
2.11.7 より前と 2.1 より前の 2.12.x の libxml2 で問題が見つかった |
|
|
FTD:HostScan のスキャン結果がバージョン 7.4.1 で処理されない |
|
|
ノードから開始されたときに ICMP 応答が送信者ノードにランダムに到達しない。 |
|
|
ASA のアップグレード後にクライアントレスポータルを介したファイルのアップロードが期待どおりに機能しない |
|
|
管理インターフェイスで FP 3100 MTU を変更し、リブートすると変更が維持されない(デフォルトの MTU に戻る) |
|
|
プライマリデバイスのリブート中にセカンダリデバイスがリロードされる。 |
|
|
Cisco ASA および FTD ソフトウェアの Web サービスにおけるサービス妨害(DoS)の脆弱性 |
|
|
Web コンテンツファイルが application/octet-stream である必要があるときにテキスト/プレーンとして表示される |
|
|
IPSEC オフロードが有効になっているときに Crypto IPSEC SA の出力に SA エラーが表示されない |
|
|
SAML:認証が成功した後、シングルサインオン AnyConnect トークンの検証エラーが表示される |
|
|
Cisco ASA および FTD ソフトウェアのダイナミック アクセス ポリシーにおけるサービス妨害(DoS)の脆弱性 |
|
|
「@」文字を含むユーザー名が、asa ログインでは機能するものの「connect fxos」では失敗する |
|
|
ASA/FTD がスレッド名「DATAPATH-6-26174」でトレースバックし、リロードすることがある |
|
|
Cisco ASA および FTD における NSG アクセス制御リストのバイパスの脆弱性 |
|
|
FTD:fqdn オブジェクトを含む NAT に起因するトレースバックとリロード |
|
|
ASA:スタティック インターフェイス NAT が設定されていると警告メッセージが表示されない |
|
|
EIGRP 設定のプッシュ後に FTDv がリロードし、バックトレースが生成される |
|
|
インターフェイス オブジェクトの最適化が有効になっている FTD が、ゾーン名を変更した後にトラフィックをブロックする |
|
|
ファイアウォールモードで不一致が起きると、アクティブユニットが無効状態になる |
|
|
mps_hash_memory が null ハッシュテーブルを指しているために Lina のトレースバックとリロードが発生する |
|
|
ASA をアップグレードすると、「Slot 1: ATA Compact Flash memory」に異なる値が表示される |
|
|
FPR9K で「show tech-support module detail」を実行するとエラーが発生する |
|
|
FTD/ASA:「会社名(Company Name)」属性間にコンマを使用した CSR の生成が期待どおりに機能しない |
|
|
CTS SXP フローの ID の使用状況をキャプチャすることを目的としたデバッグと show コマンドの追加。 |
|
|
ASA 9.19 および 9.20 で TLS セキュア クライアント セッションを確立できない |
|
|
クライアントレス VPN ユーザーが HTTP Basic 認証でページに到達できない |
|
|
webvpn デバッグにおけるフォーマット文字列のエクスプロイトの脆弱性 |
|
|
DTLS トラフィックの処理中に ASA/FTD がトレースバックし、リロードすることがある |
|
|
複数の暗号/プロポーザルによるフラグメンテーションとスロットリングが原因で IKEv2 トンネルがフラップする |
|
|
ポートブロック割り当てのリリース中に NAT プロセスが原因で ASA/FTD クラスタのメモリが枯渇する |
|
|
送信元 IP アドレスでフィルタ処理された access-policy のカウンタを表示するコマンドの結果が正しくない |
|
|
複数のコンテキスト インターフェイスがトラフィックを渡せない |
|
|
スレッド名 SSH での ASA のトレースバック |
|
|
FPR3120 で高遅延が確認される |
|
|
ASA/FTD がスレッド名 **CTM KC FPGA stats handler** でトレースバックすることがある |
|
|
一部の OID の SNMP ポーリングによって CPU が占有され、ICMP パケットで高遅延が確認される可能性がある |
|
|
FTD のルート RIP で route-map を設定すると、FTD のリロード後にルートの更新が機能しない |
|
|
Cisco ASA および FTD ソフトウェアのリモートアクセス VPN におけるブルートフォースサービス妨害(DoS)の脆弱性 |
|
|
Cisco Secure Client が接続を完了できず、Cisco Secure Desktop がクライアントにインストールされていない。 |
|
|
ASDM からファイルシステムにアクセスするときの ASA のトレースバックとリロード |
|
|
Cisco ASA および FTD の VPN Web クライアントサービスにおけるクロスサイト スクリプティングの脆弱性 |
|
|
「ハッシュ値の計算に失敗しました(Failed to compute a hash value)」というエラーで Crypto IPSEC ネゴシエーションが失敗する |
|
|
デバイスフラッピングで設定されたすべての IPV6 BGP ルート |
|
|
外部認証の 14 文字を超える Radius 秘密鍵が展開されない(FPR3100) |
|
|
ASA/FTD:async crypto コマンドでの遅延により、トレースバックとその後のリロードが発生する。 |
|
|
FPR3K のリブート時に FPR3K の管理データインターフェイスを介した FMC への接続が失われる |
|
|
SCP/SSH プロセスに起因して、ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA/FTD がスレッド名「DATAPATH-1-16803」でトレースバックし、リロードすることがある |
|
|
SSH 設定の有効化中に Firepower 2100 デバイスのコンソールにエラーメッセージが大量に表示される |
|
|
Snmpwalk がエラーメッセージ #"snmp/error: truncating integer value > 32 bits" をスローする |
|
|
9.18.3.56 にアップグレードすると、CSP でホストされている ASAv のコンソールアクセスがスタックする |
|
|
コマンド同期プロセスが特殊文字を含む設定を送信しているため、FTD/ASA-HA 設定が同期しない |
|
|
ASA:ログインの成功後に WebVPN ポータルのブックマークに到達できない |
|
|
ASA がスレッド名「DATAPATH-21-16432」でトレースバックし、リロードすることがある |
|
|
CPUTotal1min の SNMP OID がポーリング時に snort cpu コアのエントリを除外する |
|
|
idfw_proc スレッドでの FTD LINA のトレースバックとリロード |
|
|
FMC pxGrid 接続が無効になっていると Lina 側の IP-SGT マッピングが削除されない |
|
|
ASA/FTD がスレッド名「sdi_work」でトレースバックし、リロードすることがある |
|
|
フラグメント化されたクライアント Hello パケットを受信した順序が正しくない場合、TLS ハンドシェイクが失敗する |
|
|
「reg_fover_nlp_sessions: failover ioctl C_FOREG failed」というメッセージが表示される |
|
|
NetFlow の設定が原因で LINA CPU の使用率が高くなる |
|
|
FTD が appAgent メッセージの応答の処理中にプロセス名 lina でトレースバックし、リロードすることがある |
|
|
FTD HA:netsnmp_oid_compare_ll でのトレースバックとリロード |
|
|
Cisco ASA および FTD ソフトウェアのリモートアクセス VPN におけるブルートフォースサービス妨害(DoS)の脆弱性 |
|
|
Cisco 適応型セキュリティアプライアンスおよび Firepower Threat Defense の TLS におけるサービス妨害(DoS)の脆弱性 |
|
|
RAVPN:ID テーブルの枯渇により SGT-IP マッピングの作成に失敗する |
|
|
ユーザーが WebVPN のブックマークをクリックすると、ブラウザがログオンページにリダイレクトする |
|
|
Cisco ASA および FTD ソフトウェアの IKEv2 VPN におけるサービス妨害(DoS)の脆弱性 |
|
|
WebVPN 接続が CLOSEWAIT 状態でスタックする |
|
|
ASA/FTD がスレッド名 PTHREAD でトレースバックし、リロードすることがある |
|
|
FPR 21xx:通常の動作中にプロセス名 lina-mps でトレースバックする |
|
|
複数の ssh セッションで「show run」を実行すると ASA CLI がハングする |
|
|
IP アドレスが NAME に一致する場合、「set ip next-hop」行がリロード時に設定から削除される |
|
|
FXOS と Lina 間のクロックスキューにより、SAML アサーション処理が失敗する |
|
|
サービスワーカーのデバッグメニュー設定を出力するコマンド |
|
|
HA 切断操作によるアクティブユニットでのトレースバックとリロード。 |
|
|
管理コンテキストの管理インターフェイスの SNMP ポーリングですべてのコンテキストの全インターフェイスを表示できない |
|
|
Cisco 適応型セキュリティ仮想アプライアンスと Secure FTD 仮想 SSL VPN における DoS の脆弱性 |
|
|
アップグレード後に ASA/FTD が拡張コミュニティ属性を誤って転送する。 |
|
|
multi-ctx モードでの TCM cfgd を使用したフェールオーバーの後に、「rule-transaction-in-progress」でトラフィックがドロップする |
|
|
FTD が、AAAA クエリで 1 つの DNS サーバーから拒否エラーを受信した後、タイプ A クエリを送信しない |
|
|
SA の確立/キー再生成後に ESP シーケンス番号 0 が送信される |
|
|
CCL MTU の設定時の警告メッセージを追加 |
|
|
アプライアンスモードの Cisco ASA Firepower における特定のタイムゾーン(GMT+1 など)の設定に関する問題 |
|
|
ENH:LINA で連続して発生する AAA 障害をブロックするためのアプリケーションサポートを追加 |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
Cisco ASA および FTD ソフトウェアのリモートアクセス VPN におけるサービス妨害(DoS)の脆弱性 |
|
|
SSP OpenSSH regreSSHion の脆弱性に対処 |
バージョン 9.20(2) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
syslog サーバーに送信中に、ASA によって syslog イベントが他の syslog イベントに連結される |
|
|
CP への ARP スロットリング欠如のミス表示により、オーバーサブスクリプションになる |
|
|
SNMPv3:FXOS SNMPv3 設定で特殊文字を使用すると認証エラーが発生する |
|
|
ENH:「Blocks free curr」が低くなった場合の InternalData インターフェイスでの RX キューのスナップショットのサポート |
|
|
発信インターフェイスリストが Null の場合、その他のドロップではなく MFIB RPF 失敗カウンタが増加する |
|
|
ACL 変更が PBR 設定にリンクされている間に ASA/FTD トレースバックとリロードが発生することがある |
|
|
25G CU SFP が Brentwood 8x25G netmod で機能しない |
|
|
ASA/FTD:コマンド「no snmp-server enable oid mempool」がデフォルトで有効になっているか、アップグレード時に強制される |
|
|
multimode-tmatch_df_hijack_walk トレースバックが、FO に接続したスイッチインターフェイスでのシャットダウン/シャットダウン解除中に観測される |
|
|
FPR 4115:FTD HA アップグレード後にプライマリユニットのすべての HA 設定が失われる |
|
|
共有管理インターフェイスを使用して、管理者およびユーザーコンテキストでスタンバイユニットからゲートウェイに到達できない |
|
|
FTD インターフェイスで BVI を削除すると、他の BVI でパケットドロップが発生する |
|
|
Cisco 適応型セキュリティ仮想アプライアンスと Secure FTD 仮想 SSL VPN における DoS の脆弱性 |
|
|
ASA/FTD がスレッド名「DATAPATH-1-1656」でトレースバックおよびリロードすることがある |
|
|
マルチインスタンス HA でデータ/データ共有として設定された PortChannel サブインターフェイスが「待機」状態になる |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
Lina コアが高トラフィックのテスト中に作成される |
|
|
Cisco ASA ソフトウェアと FTD ソフトウェアの SNMP におけるサービス妨害攻撃に対する脆弱性 |
|
|
KP:マルチモード:HA ノードの切断と再参加中に ASA トレースバックが確認される |
|
|
ASA:「Ping<ifc_name> xxxx」が 9.18.x 以降、期待どおりに機能しない |
|
|
FP1000 シリーズで実行されている FTD が、「Client Hello」メッセージの後の TLS フローのパケットをドロップすることがある。 |
|
|
FTDv:dpdk プールの枯渇と rx_buff_alloc_failure による VMware 展開でのトラフィック障害 |
|
|
非常に限定的な「vpn-idle-timeout」値により、SSL セッションの切断と再接続が継続的に発生する。 |
|
|
Hyper-V の ASAv が管理インターフェイスでパケットをドロップする |
|
|
HA 有用性強化:現在のアプリケーション同期の HA NLP クライアント統計と HA CTL NLP カウンタを維持 |
|
|
ASDM が、バックアップ復元時にクラス インスペクション オプションでカスタムの policy-map をデフォルトマップに置き換える。 |
|
|
FP2130:ポートチャネルのメンバーの関連付けを解除できず、展開に失敗し、FTD/FMC でメンバーが失われる |
|
|
KP:FTD の再インストール時に 2 番目の(MSP)ディスクがクリーンアップ/再フォーマットされる |
|
|
シスコの適応型セキュリティ アプライアンス ソフトウェアと Firepower Threat Defense の DoS |
|
|
TLS サーバーのアイデンティティプローブのタイムアウトが長すぎると、トラフィックが影響を受ける可能性がある |
|
|
access-list:異なるタイプのアクセスリストを混在させることができない。 |
|
|
ASAv:snmpwalk 実行中の ICMP ping パケットにより Azure 環境で高遅延が発生する |
|
|
SSH 認証の TACACS+ 要求に ASA/FTD クライアント IP がない |
|
|
FPR 3100/4200 の ERSPAN インターフェイスでのトラフィックの不適切なロードバランシング |
|
|
バンドルされている FXOS アップグレードで PSEQ(Power-Sequencer)ファームウェアをアップグレードできない場合がある |
|
|
Firepower での ipsec セッションの ECMP + NAT のサポートの要求 |
|
|
priority-queue コマンドにより、すべてのポートチャネル インターフェイスでサイレント出力パケットがドロップされる |
|
|
ASA/FTD:「show memory webvpn all objects」を発行する際のトレースバックとリロード |
|
|
DNS キャッシュエントリの枯渇によりトレースバックが発生する |
|
|
ユーザーが FXOS SNMP の「sys/svc-ext/snmp-svc のプロパティコミュニティが範囲外(property community of sys/svc-ext/snmp-svc is out of range)」を理解できない |
|
|
ASA SNMP ポーリングが機能せず、show コマンドで「Unable to honour this request now」と表示される |
|
|
重複検出後に形成された古い IKEv2 SA のクリアにかかる時間の短縮 |
|
|
スレッド名 DHCPRA Monitor での ASA トレースバックおよびリロード |
|
|
vFTD がメモリ不足になり、障害状態になる |
|
|
メモリヘッダー検証によるプロセス名 lina での ASA トレースバックとリロード |
|
|
KP2140-HA、リロードされたプライマリユニットがピアユニットを検出できない |
|
|
9.16.4.19 へのアップグレード後に スレッド名 DATAPATH-53-18309 で ASA でトレースバックが発生する |
|
|
トランスペアレントモードの FTD で「show route all summary」を実行すると、CLISH の動作が遅くなる。 |
|
|
非 FIPS モードと FIPS モードの両方で異常トラフィックが発生している RAVPN インターフェイスで Lina がクラッシュする |
|
|
フェールオーバー:アクセスリスト変更中のスタンバイユニットのトレースバックとリロード |
|
|
フェールオーバー スイッチオーバー後に FTD が OSPF 隣接関係を形成するのに想定以上に時間がかかる |
|
|
HB ミスが原因でユニットがクラスタからランダムにキックアウトされる | ASA 9.16.3.220 |
|
|
FP3110 7.2.4:Firepower 3110 デバイスの予期しない再起動 |
|
|
FTD:OSPF 再配布プロセス実行中のトレースバックとリロード |
|
|
FTD Lina エンジンが、アサーションが原因でデータパスでトレースバックすることがある |
|
|
最大数に関するシステム制限ルールに達したときに意味のあるログを追加 |
|
|
HA の両方のデバイスが FMC にイベントを送信しないようにする |
|
|
NAT 障害により、FTD が WSA からの GRE トラフィックをドロップする |
|
|
最後の 20 の rmu 要求応答パケットのダンプに失敗する |
|
|
リロード後にキー文字列がバックスラッシュ「\」で終わる場合、ASA は IKEv2 リモート PSK を削除する |
|
|
ASA アプライアンスモード - 「connect fxos [admin]」で「ERROR: failed to open connection」が返される。 |
|
|
ASA:クライアントレス WebVPN によるチェックヒープのトレースバックとリロード |
|
|
FTD:[有効(Enabled)] と表示される Firepower 3100 の動的フローオフロード |
|
|
ルートの同じプレフィックス/メトリックが別の VRF で設定されている場合、ポリシーの展開が失敗する。 |
|
|
/opt/cisco/platform/logs/messages への ssp-multi-instance-mode メッセージの過剰なロギング |
|
|
WM RM:SFP ポート 9 のステータスが SFP 10|11|12 のポートの状態の後に表示される |
|
|
トランクモードのスイッチポートが、電力損失後に VLAN トラフィックを通過させない |
|
|
ASA:ISA3000 が entPhySensorValue OID SNMP ポーリングに応答しない |
|
|
ASA:スレッド名「fover_FSM_thread」および「ha_ntfy_prog_process_timer」でのトレースバックとリロード |
|
|
EC521 の SHA384 を使用した ECDSA 自己署名証明書 |
|
|
ASA|FTD:空きバッファの破損によるトレースバックとリロード |
|
|
FTD Lina トレースバックスレッド名:二重解放による DATAPATH-3-11917 |
|
|
両方の HA ユニットが同時にリロードされた後、「failover standby config-lock」設定が失われる |
|
|
OSPFv3 トラフィックがトランスペアレントモードで一元化される |
|
|
FMC:UDP ポート 6081 を使用した ACP ルールが後続の展開後に削除される |
|
|
AWS 上の ASAv を 9.18.2 以降の任意のバージョンにアップグレードした後、Radius 認証が機能しない |
|
|
メモリヘッダー検証によるプロセス名 lina での ASA トレースバックとリロード- webvpn 側の修正 |
|
|
マルチコンテキスト セットアップで ASDM アプリケーションがランダムに終了または中断し、アラートメッセージが表示される |
|
|
メモリバッファが破損している場合に ASA/FTD HA checkheaps がクラッシュする |
|
|
デフォルト以外のポートが 80 で始まる場合、ASA で OCSP 要求の HTTP ヘッダーのホストフィールドのポートが省略される |
|
|
OID.1.3.6.1.2.1.2.2 を使用した SNMP 応答のインターフェイス速度の不一致 |
|
|
FreeB および VPN 機能を使用した Lina プロセスでの ASA トレースバック |
|
|
FTDv/AWS:Lina と FTD クラスタ間の NTP クロックオフセット |
|
|
ASA/FTD:NAT の変更と使用中の DVTI によるトレースバックとリロード |
|
|
ASA/FTD が、スレッド名「RAND_DRBG_bytes」および n5 プラットフォーム上の CTM 機能でトレースバックおよびリロードすることがある |
|
|
キャプチャバッファサイズを変更すると、ASA/FTD がトレースバックおよびリロードすることがある |
|
|
FTD 7.0.4 クラスタで、tcp-not-syn が原因で Oracle の sqlnet パケットがドロップされる |
|
|
DAQ/Snort で不正な形式の L3 ヘッダーが送信されると、snp_fp_tcp_normalizer() で Lina がクラッシュする |
|
|
クラスタ全体の出力において ASA クラスタのみのヒットカウント統計が正しくない |
|
|
FXOS FPRM のトラブルシューティングに「show env tech」を含める |
|
|
ASA/FTD クラスタ:同じ 5 タプルを使用した 2 つの異なる接続での TCP ランダム化シーケンス番号の再利用 |
|
|
741:HA および AppAgent:瞬間的なスプリットブレイン状況を回避するための長期的なソリューション |
|
|
MIO ブレードのハートビート障害による ASA の予期しない HA フェールオーバー |
|
|
access-list の再設定時の ASAトレースバック |
|
|
リロード時にスタンバイで PAC キーファイルが欠落している |
|
|
FTD VMware:ファイルシステムの破損が原因で /dev/sda8 パーティションでディスク使用率が高くなる |
|
|
インターフェイスがインラインモードの場合、アイドルタイムアウト後に接続がクリアされない。 |
|
|
特定の OID 1.3.6.1.2.1.25 が応答しない |
|
|
SNMPV3 設定の追加時に ASA/FTD がスレッド名「ssh」でトレースバックおよびリロードすることがある |
|
|
FTD:CPU コアによって NAT ルールが削除されたことによるトレースバックとリロード |
|
|
HTTP セッションが CLOSE_WAIT でスタックしているため、ASDM 管理セッションのクォータに達している |
|
|
FTD が MAC アドレス 0000.000.000 で UDP500 パケットに応答する |
|
|
ASA の「pager line 25」コマンドが一部の端末アプリケーションで期待どおりに機能しない |
|
|
プレフィルタアクションが分析の場合、KP でホストされている FTD で復号された ESP パケットが誤ってドロップされる |
|
|
ASA/FTD:スタンドアロン ASA の「overlaps with inside standby interface address」NAT64 エラー |
|
|
FTD:インラインセット インターフェイスの内部フロー処理によってフラグメント化された GRE トラフィックが原因で、9344 ブロックでリークが発生する |
|
|
2100:ポートチャネルのメンバーとしてインターフェイスを削除後、FTD にインターフェイスが表示されない |
|
|
ASA で、物理データおよび管理専用インターフェイスに対して同じ BGP ダイナミック ルーティング プロセスが許可される |
|
|
FTD:Mate version 0.0 is not compatible でフェールオーバー/ハイアベイラビリティが無効になる |
|
|
「show aaa-server」コマンドで、常に平均ラウンドトリップ時間 0 ミリ秒が表示される |
|
|
show inventory all の実行中に ASA/FTD がトレースバックおよびリロードすることがある |
|
|
ASA:IPSec トンネルを介した管理アクセスが機能しない |
|
|
FMC に 11xx/21xx/31xx デバイスの「パスワード暗号化キーが設定されていません(The password encryption key has not been set)」というアラートが表示される |
|
|
ASA:CCL リンク障害/回復後の 6 ノードクラスタ同期中のトレースバックとリロード |
|
|
IPSec VPN を使用した ASA/FTD のトレースバックとリロード(場合によってはアップグレードを含む) |
|
|
インターフェイスの過負荷が原因で、送信元 NAT ルールで誤った変換が実行される |
|
|
DAP データを処理中に ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
MPLS トンネルの再アセンブルでフラグメント化された UDP パケットが失敗する |
|
|
ボックストラフィックを介したマルチキャストにより、1GBps トラフィックで CPU 使用率が高くなる |
|
|
ホストグループ設定を追加後、FTD SNMPv3 ホスト設定が iptables から削除される |
|
|
CLI でロギングタイムスタンプを有効にした後に、ASDM がログのタイムスタンプを認識できない |
|
|
「match ip address test」を設定および設定解除すると、クラッシュすることがある |
|
|
Firepower 2100 シリーズ向け Cisco Firepower Threat Defense ソフトウェアの TLS におけるサービス妨害(DoS)の脆弱性 |
|
|
TLS1.3 を無効にする設定 |
|
|
ASA:CLI を使用して設定を復元する際のトレースバックとリロード |
|
|
syslog サーバーに送信される一部の syslog メッセージのタイムスタンプエントリが欠落している |
|
|
ルータから送信されたコミュニティストリングが ASA と一致しない |
|
|
kp 741-1146 でスピンロックとウォッチドッグがクラッシュする:ctm_ipsec_get_sa_lock+112 |
|
|
セカンダリが IPv6 を使用して内部でフェールオーバー通信を失ったが、内部の次のテストに合格する |
|
|
FXOS:NTP エントリの重複により、エラーメッセージが表示される:到達不能または無効な NTP サーバー |
|
|
ASA:クラスタ設定で「show nat pool detail」コマンドを実行すると、トレースバックとリロードが発生する |
|
|
ciscossh スタックを使用した SCP 経由のファイルコピーが「該当するファイルまたはディレクトリがありません(no such file or directory)」というエラーで失敗する |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
CPOC:CPS テストで 4245 ASA がクラッシュする |
|
|
Cisco ASA および FTD ソフトウェアにおける Inactive-to-Active ACL のバイパスの脆弱性 |
|
|
「ip verify reverse-path」が設定されている場合、ASA が IPSEC トラフィックを誤ってドロップする |
|
|
プレフィックスリストを使用した OSPF 再配布ルートマップがアップグレード後に機能しない |
バージョン 9.20(1) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
ID |
見出し |
|---|---|
|
QoS ポリシー展開時のスレッド名 cli_xml_server での FTD トレースバック |
|
|
FTD - フローオフロードはレート制限機能(QoS)と共存できる必要がある |
|
|
エラー:削除済みの IDB が使用中のキューで見つかりました:メッセージが誤解を招く |
|
|
DNS ルックアップでプライマリで HA フェールオーバーを実行すると、プライマリノードが VPN クラスタから切断される |
|
|
Cisco ASA および FTD の SSL VPN のメモリ管理におけるサービス妨害(DoS)の脆弱性 |
|
|
ASA/FTD がプロセス名 lina でトレースバックおよびリロードする |
|
|
ASA:管理コンテキストによって生成されるすべてのログのタイムスタンプが同じである |
|
|
レジスタの読み取り中に障害/遅延が発生した場合に、最後の 20 rmu 要求応答パケットをキャッシュおよびダンプする |
|
|
FP2100 の FTD が、リブートプロセス中に HA アクティブユニットとして引き継ぐことができる |
|
|
空きメモリが 30% を超えているにもかかわらず、ASAv の CPU およびスタックメモリの割り当てエラーが高い |
|
|
FTPS が ssl3_get_record を取得:KK および DR ルール接続中の不正なレコードの種類 |
|
|
ASA/FTD がスレッド名「lina」IP ルーティング「ndbshr」でトレースバックおよびリロードすることがある |
|
|
ASA HA フェールオーバーによって HTTP サーバーの再起動の失敗と ASDM の停止がトリガーされる |
|
|
FPR1000 ASA/FTD:リロード後にプライマリがアクティブロールになる |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASAv 「ライセンス情報を取得できません。後でもう一度お試しください(Unable to retrieve license info. Please try again later)」 |
|
|
内部データ「no buffer」インターフェイスカウンタをポーリングするための FXOS ASA/FTD の SNMP OID |
|
|
ASA が、メモリトラッキング中に Unicorn スレッドで WebVPN トレースバックを使用する |
|
|
ASA:ASDM セッションが CLOSE_WAIT でスタックし、その結果 MGMT が不足する |
|
|
TCM がオフのとき、ユニットがクラスタに参加するときの ASA/FTD tmatch コンパイルチェック |
|
|
外部ブラウザとラウンドロビン DNS を使用した AnyConnect SAML が断続的に失敗する |
|
|
ディスク障害が原因で他のユニットの検査エンジンに障害が発生したため、フェールオーバーがトリガーされる |
|
|
ASA/FTD:2 つ以上のインターフェイスで PAT ルールでラウンドロビンを使用すると、IP スティッキ性が失われる |
|
|
GTP ドロップが、バッファと syslog に常に記録されない |
|
|
ASA/FTD がポリシー展開後にスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
「他のユニットの hwidb インデックスのセットが異なります(Other unit has different set of hwidb index)」という理由により、FPR1K FTD が HA の形成に失敗する |
|
|
ASA/FTD が、配布リストを使用して多数のネットワークオブジェクトの展開をトレースバックすることがある |
|
|
EIGRPv6 - LINA で「mem_lock:アサーション mem_refcount' が失敗しました(mem_lock: Assertion mem_refcount' failed)」でクラッシュした |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
アクティブ IP とスタンバイ IP の両方を使用しているスタンバイユニットが、nat「any」により重複 IP の問題の原因となる |
|
|
per-user-override が設定されている場合、vpn-filter のないユーザーが追加のアクセス権を取得できることがある |
|
|
DHCP リレーが DHCP オファーパケットをループバックしているため、FTD/ASA で dhcprelay が失敗する |
|
|
説明にエスケープされた値を含むオブジェクトを展開すると、以降のすべての展開が失敗する可能性がある |
|
|
92.14.0 でネイティブ論理デバイスを削除した後、ブレードが 600 秒以上オンラインのままになる |
|
|
FPR 2100:1G SFP を備えた 10G インターフェイスがリロード後にダウンする |
|
|
fxos ログローテーションでファイルの循環に失敗し、ファイルサイズが大きくなる |
|
|
ASA/FTD:スレッド名 appAgent_reply_processor_thread でトレースバックおよびリロードする |
|
|
ASA:Webvpn ポータルが使用されている場合にトレースバックおよびリロードする |
|
|
FTDv クラスタの仮想 IP に ping を実行できない |
|
|
ASA の復元で vlan 設定が適用されない |
|
|
接続レート OID の SNMP GET を使用してポーリング結果を取得できない |
|
|
ASA/FTD:しきい値を超えるフローのオブジェクトグループ検索 Syslog |
|
|
snort が 4085 ~ 4096 バイトのサイズのメッセージを送信すると、FTD PDTS LINA RX キューがスタックすることがある |
|
|
AWS:Geneve トンネルインターフェイスで SSL 復号が失敗する |
|
|
FP2100:HA の FXOS 側の変更に、予期しない lacp プロセス終了の問題に対するレジリエンスがない |
|
|
log_handler_file ウォッチドッグのクラッシュフィックスの修正が必要である |
|
|
FTD で実行すると、「show tech-support」の生成内容に「show inventory」が含まれない |
|
|
FTD Lina がスレッド名「IP Init Thread」でトレースバックおよびリロードする |
|
|
「show asp drop」の紛らわしいドロップ理由 |
|
|
application/octet-stream と text/plain を使用した Web コンテンツへのクライアントレスアクセス |
|
|
ina_duart_write での再帰パニック |
|
|
インラインペアの状態が、ハードウェアバイパスからスタンバイモードに自動回復できない。 |
|
|
ASA/FTD:アップグレード中の SNMP グループ設定によりトレースバックおよびリロードする |
|
|
ASA:EEM が設定されている場合、リブート時に「Sync Config」ステータスでスタンバイがスタックすることがある |
|
|
DCD が有効になっている場合に ASA 接続がアイドル状態でスタックする |
|
|
Cisco ASA および FTD AnyConnect の SSL/TLS VPN におけるサービス拒否攻撃に対する脆弱性 |
|
|
FPR2100:アプライアンスモードの ASA でのフェールオーバー コンバージェンス時間の増加 |
|
|
AWS GWLB の背後にある FTDv シングルアームプロキシは、すべて 0 チェックサムの geneve-invalid-udp-checksum が原因でドロップする |
|
|
属性値が大きすぎることによる、DAP ルールとの AC クライアントの一致の失敗 |
|
|
ASA のコンテキストのカスケード接続を介したパケットが、ソフトウェアアップグレード後にゲートウェイコンテキストでドロップされる |
|
|
HA の FP4125 2.10.1.166 FTD アプリケーションが応答なし状態になった |
|
|
サポートのための Lina の変更 - FQDN ベースのトラフィックを処理する際に、Snort3 が daq-pdts でトレースバックする |
|
|
QEMU KVM コンソールが [カーネルを起動中(Booting the kernel)] ページでスタックする |
|
|
セカンダリユニットのポートチャネル インターフェイスは、リロード後に待機状態になる |
|
|
ASA/FTD が idfw fqdn ハッシュルックアップでトレースバックおよびリロードすることがある |
|
|
FXOS:FTD アクセス コントロール ポリシー展開中の高い CPU 使用率によってトリガーされる FP2100 FTW タイムアウト |
|
|
ブートアップ警告の修正:カウンタ ID 'TLS13_DOWNSTREAM_CLIENT_CERTIFICATE_VERIFY' が長すぎる |
|
|
DSID リークによる DH 計算エラーのため、S2S トンネルが機能しない |
|
|
ラベルの FPR3110 ファンの SN が show inventory cli 出力と異なる |
|
|
ICMPv6 オプション処理でのシステムクラッシュ |
|
|
HA が設定された ASA は、複数の入出力エラーメッセージでトレースバックおよびリロードすることがある |
|
|
peer_proxy_tx_q の 9344 ブロック枯渇による FTD トラフィック障害 |
|
|
LINA がスレッド名 update_cpu_usage 下の FPR-1010 でトレースバックする |
|
|
Microsoft SCEP 登録で ASA ID 証明書の取得に失敗する - PKCS7 を確認できない |
|
|
ASA/FTD がスレッド名「telnet/ci」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
フローオフロードが使用されていない場合に、いくつかの devcmd 障害と checkheaps トレースバックが発生する。 |
|
|
AWS ASAv PAYG ライセンスが GovCloud リージョンで機能しない。 |
|
|
webvpn ユーザーが 36k 要素で DAP アクセスリストに一致する場合、トレースバックおよびリロードする |
|
|
ASA/FTD:Netflow タイマーインフラでのトレースバックとリロード |
|
|
カットスループロキシが HTTPS トラフィックで機能しない |
|
|
syslog のロギングメカニズムの強化 |
|
|
ASA/FTD NAT プールクラスタの割り当てとユニット間の予約の不一致である |
|
|
リロード後に Stratix5950 および ISA3000 LACP チャネルメンバー SFP ポートが一時停止になる |
|
|
シャーシとブレード間のハートビート損失による ASA/FTD の障害 |
|
|
ASA/FTD が logging_cfg 処理でトレースバックおよびリロードすることがある |
|
|
クライアントレス VPN ユーザーが、WebVPN ポータルから大きなファイルをダウンロードできない |
|
|
ASA が別の認証および承認サーバーを使用している場合、Anyconnect ユーザーが接続できない |
|
|
ssp_ntp.log ログローテーションの問題により、マルチインスタンスでの FXOS 更新のサポート後にブレードが起動しない |
|
|
Cisco ASA および FTD VPN Web クライアントサービスのクライアント側要求のスマグリングの脆弱性 |
|
|
セカンダリの再起動時のプライマリ ASA のトレースバックである |
|
|
ASA/FTD がトレースバックおよびリロードする、スレッド名:rtcli async executor process |
|
|
起動時に FPR1010 で数秒間リンクアップが見られる |
|
|
FTD:FPR3100 で WebVPN キープアウトまたは証明書マップを設定できない |
|
|
バックアップの実行時に ASA が予期せずリロードされる |
|
|
Cisco ASA および FTD における AnyConnect アクセス制御リストのバイパスの脆弱性 |
|
|
クラスタの参加に失敗すると、ライセンスコマンドがクラスタデータユニットで失われる |
|
|
PAT プールの展開中の FTD トレースバックとリロード |
|
|
「logging history <mode>」でレート制限を指定する必要がある |
|
|
FTD トレースバック/リロード - Icmp エラーパケット処理に snp_nat_xlate_identity が含まれる |
|
|
FPR1K/FPR2K:サブインターフェイスの数が多いトランスペアレントモードでのフェールオーバー時間の増加 |
|
|
クラスタデータユニットが、ASP の理由「VPN reclassify failure」で非 VPN トラフィックをドロップする。 |
|
|
FPR1120:HA でのスイッチオーバー後に接続がティアダウンされる |
|
|
CRL チェックに失敗すると、トラストポイントの [なし(None)] オプションが機能しない |
|
|
ポリシー展開の NAT ステートメントの追加/削除/編集中に FTD がトレースバックおよびリロードする |
|
|
FTD が WSA からの GRE トラフィックをドロップする |
|
|
設定が欠落している認証方式として LDAP を使用した ASA バインディングである |
|
|
ASA:SNMP パケットの処理中にトレースバックおよびリロードする |
|
|
SSL ハンドルのリークによる高 Lina メモリ使用量である |
|
|
FTD - メモリ割り当てに不適切な値を提供する「show memory top-usage」である |
|
|
FTD:宛先に到達可能になっても IPSLA プリエンプションが機能しない |
|
|
キャプチャ設定の削除中のスタンバイユニットの ASA/FTD トレースバックとリロードである |
|
|
[FTD Multi-Instance][SNMP] - CPU OID が、関連する CPU の不完全なリストを返す |
|
|
ASA/FTD がスレッド名「CTM Daemon」でトレースバックおよびリロードすることがある |
|
|
ASA5516 の FTD でジャンボフレームが有効になっている場合、256 バイトのメモリブロックが開始時に枯渇する |
|
|
オープンな AC VPN Agent が単一の証明書とユーザー名/パスワードを使用してマルチ証明書認証 TG に接続できる |
|
|
UDP タイムアウトが期限切れになるまで、ASP ドロップ理由 no-mcast-intrf により、ASA/FTD がマルチキャストパケットをドロップすることがある |
|
|
マルチキャスト接続の確立またはティアダウン syslog メッセージが生成されない場合がある |
|
|
NTP ポーリング頻度を 5 分から 1 秒に変更すると、役に立たない大きなログファイルが生成される |
|
|
8x10Gb netmod がオンラインにならない |
|
|
ASA/FTD:snmp-server が設定されていない場合の SNMP 関連のメモリリーク動作 |
|
|
スレッド名 asacli/0 を示す ASA トレースバックとリロード |
|
|
フェールオーバー スイッチオーバー後に FTD が OSPF 隣接関係を形成するのに想定以上に時間がかかる |
|
|
VPN トンネルの作成時に「すべてのカウンタをクリア(clear counters all)」を実行した後、ASA/FTD がトレースバックおよびリロードすることがある |
|
|
icmp_thread での LINA トレースバック |
|
|
作成されたコンテキストを削除すると、コマンド「app-agent heartbeat」が削除される |
|
|
CLUSTER:フロー所有者からの CLU 追加フロー要求よりも前に、ICMP 応答がディレクタに到着する |
|
|
FTD MI が BVI に接続された VLAN 上の PVID を調整しない |
|
|
ASA/FTD が lua_getinfo のスレッド名「None」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD Show chunkstat top コマンドの実装である |
|
|
cf_reinject_hide フラグが原因で、ASA/FTD が関数「snp_fp_l2_capture_internal」でトレースバックすることがある |
|
|
ローエンドプラットフォームで ntp ログから hwclock を設定するための回避策 |
|
|
ASA/FTD:多数の(サブ)インターフェイスと HTTP サーバーが有効になっていると、フェールオーバーの遅延が大きくなる |
|
|
スタンバイユニットで複数のトレースバックが観察される。 |
|
|
ピアからの削除がない場合、同時 IKE SA 処理中に古い IKEv2 SA が形成される |
|
|
データインターフェイスを管理として使用して 7.2.3 ベータ版をアップグレードした後、FDM WM-HA ssh が機能しない |
|
|
ASA:FTD アクセス コントロール ポリシー展開中の高い CPU 使用率によってトリガーされる FP2100 FTW タイムアウトである |
|
|
FP2100:再帰的なメッセージ -<date>.1.gz rotated filenames を回避するために LINA asa.log ファイルを更新する |
|
|
Syslog ASA-6-611101 が 1 つの SSH 接続に対して 2 回生成される |
|
|
per-user-override が設定されている場合、vpn-filter のないユーザーが追加のアクセス権を取得できることがある(IKEv2 RAVPN) |
|
|
management-access が有効になっているために 7.0 から 7.2.x 以降への FTD アップグレードがクラッシュする |
|
|
有効な隣接関係がないためにフローティング接続がデフォルト値でない場合、ASA/FTD は BVI へのトラフィックをドロップする |
|
|
SFR モジュールの SNMP がダウンし、復旧しない |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
tx chksum-offload が有効になっている場合、SSL 復号された接続が egress interface a pppoe で失敗する。 |
|
|
FPR2140 の FTD:TCP 正規化による Lina のトレースバックとリロード |
|
|
logging history が有効になっている場合、ASA/FTD でメモリリークが発生する |
|
|
ASA/FTD:クラスタイベントメッセージ「正常性チェックで左側のクラスタを制御していることが検出されました(Health check detected that control left cluster)」の改訂 |
|
|
FTD:VRF ルーティングに依存する接続で「timeout floating-conn」が期待どおりに動作しない |
|
|
p3_tree_lookup のウォッチドッグタイムアウトを指すトレースバックが原因で ASA/FTD がリブートする |
|
|
スレッド名「NetSnmp Event mib process」での FTD トレースバックとリロード |
|
|
FTD がデフォルトゲートウェイを使用して RP に到達している場合、リロード後に PIM 登録パケットが RP に送信されない |
|
|
ASA マルチコンテキストの「management-only」インターフェイス属性が作成中に同期されない |
|
|
複数のセッションが開かれている場合、新しい context サブコマンドが HA スタンバイで複製されない。 |
|
|
Umbrella DNS コネクタ設定を削除しようとすると、ポリシー展開が失敗する |
|
|
snp_tracer_format_route での ASA/FTD トレースバックである |
|
|
tcp インターセプト統計により、ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA/FTD:クラスタ内のフローオフロード状態が同じであることを確認する |
|
|
無効なファームウェア MF-111-234949 の障害/エラーが必要 |
|
|
ASA/FTD がトレースバックおよびリロードすることがある |
|
|
ASA:サポートされていないプラットフォームで SFR モジュール設定を防止する |
|
|
作成されたコンテキストを削除すると、コマンド「neighbor xxxx ha-mode graceful-restart」が削除された |
|
|
SNMP ポーリング レートが非常に高い場合、FP2100 シリーズ デバイスが過剰なメモリを使用することがある |
|
|
KP がデコードできない無効なコアファイルを生成する 7.2.4-64 |
|
|
ASA:ACL DAP の同期中にスタンバイデバイスがトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
SIP IPv6 パケットの最後のフラグメントの MF は 1 であり、より多くのパケットが予想されることを示している |
|
|
isakmp キャプチャを削除するときに、ASA/FTD がトレースバックおよびリロードする |
|
|
フェールオーバーの fover_trace.log ファイルがフラッディングし、すぐに上書きされる |
|
|
異なる「相手装置動作モード」が誤って認識されたため、フェールオーバーが複数回無効になる可能性がある。 |
|
|
Thead 名 CP Processing での FTD 3100 のクラッシュ |
|
|
ASA/FTD がスレッド名「DATAPATH-3-21853」でトレースバックおよびリロードする場合がある |
|
|
静的ルーティングを追加した後のデータパススレッドでの FTD LINA のトレースバックとリロード |
|
|
クロスインターフェイスアクセス:VPN を介した管理アクセスインターフェイスへの ICMP ping が機能しない |
|
|
リンクステートの伝達により、 Inline-set でインターフェイスが DOWN を維持する |
|
|
ASA/FTD:カスタム VRF を使用すると、from-the-box ping が失敗する |
|
|
ASA/FTD:VPN ピア間に遅延がある場合の、IPSEC VPN を介した FPR2100 での TCP スループットの低下 |
|
|
ASA/FTD がスレッド名「pix_flash_config_thread」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ポートチャネルのサブインターフェイスのデフォルト DLY 値が親 PortChannel と一致しない |
|
|
ASA:「management-only」の解析でスタンバイ障害がパーサー/フェールオーバーサブシステムに報告されない |
|
|
[FSM:STAGE:FAILED] という正常性アラート:外部 AAA サーバー設定 |
|
|
SIP インスペクションが有効になっていると、スレッド DATAPATH-14-11344 で ASA/FTD がトレースバックし、リロードする |
|
|
スレッド名 cli_xml_server in tm_job_add を示す ASA/FTD のトレースバックとリロード |
|
|
証明書のサブジェクト DN からのシリアル番号属性をユーザー名として使用する必要がある |
|
|
サービスダウンの通知デーモン誤アラームである |
|
|
CVIM コンソールが [カーネルを起動中(Booting the kernel)] ページでスタックする |
|
|
証明書からのユーザー名(Username-from-certificate)機能は、電子メール属性を抽出できない |
|
|
ASA:動的設定変更の「management-only」の解析時にスタンバイ障害が発生する |
|
|
ha_msg の破損による解析スレッドでの ASA のトレースバックとリロード |
|
|
ngfwManager プロセスが継続的に再起動し、ZMQ Out of Memory のトレースバックが発生する |
|
|
FXOS REST API:タイプ「ecdsa」のキーリングを作成できない |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
Cisco 適応型セキュリティ アプライアンス ソフトウェアの SSH におけるリモート コマンド インジェクションの脆弱性 |
|
|
Cisco ASA および FTD VPN Web クライアントサービスのクライアント側要求のスマグリングの脆弱性 |
|
|
コマンドを受理しても ASA がタイムゾーンを更新しない |
|
|
複数の DHCP サーバーが設定されている場合、FTD DHCP リレーが NACK をドロップする |
|
|
Cisco ASA および FTD SAML 認証バイパスの脆弱性 |
|
|
ASA/FTD がスレッド名「lina」でトレースバックし、リロードすることがある |
|
|
ASA/FTD:6.6.5 から 7.0.1 へのアップグレード直後の SNMP 関連のトレースバックとリロード |
|
|
ASA:CLU RX/TX キューでの大量のアンダーラン/オーバーランに対する設定可能な CLU |
|
|
VPN トラフィックの実行中にヒットレスアップグレードを実行すると、ASA のトレースバックとリロードが観察される |
|
|
7.2.4:単一の巧妙に細工された UDP SIP 登録要求を使用したブロックの枯渇 |
|
|
tcpmod_proxy_continue_bp プロセスでのスレッドデータパスのトレースバックとリロード |
|
|
asa log infraでファイル固有のロギングを一時停止/再開するノブを追加。 |
|
|
一方のスポークで IPSec フローがオフロードされ、もう一方でオフロードされていない場合、FTD/ASA ハブアンドスポーク(U ターン)VPN が失敗する |
|
|
9.18.2 以降、TCP ping が全く機能しない |
|
|
ASA/FTD がスレッド名「ci/console」でトレースバックし、リロードすることがある |
|
|
BS および QP のハートビートタイムアウトを 6 秒に設定 |
|
|
ASA で SNMP PDU および SNMP VAR チャンクが不足している |
|
|
フラグメント化されたパケットによる Lina のトレースバックとリロード |
|
|
FTD:7.3.0 を実行している ZMQ でのトレースバック |
|
|
ASA が user-agent と host なしで OCSP 要求を送信する |
|
|
ASA:9.16.4 へのアップグレード後、最初のリブート時にすべてのタイプ 8 パスワードが失われる |
|
|
プロセス名 Lina を示す ASA のトレースバックとリロード |
|
|
Nat/Pat に関連する、プロセス名 lina での ASA のトレースバックとリロード |
|
|
TCP ノーマライザには、パケットドロップなどのアクションを示す統計が必要 |
|
|
大量の認証プロファイルを送信するユーザーに対して SSL を介した LDAP 認証が機能しない |
|
|
ASA/FTD がスレッド名「19」でトレースバックし、リロードすることがある(空きブロックチェックサムエラー) |
|
|
ASA がスレッド名「DHCPv6 Relay」でトレースバックおよびリロードすることがある |
|
|
ASA/FTD:SNMP およびインターフェイスの変更中の、スレッド名 snmp_master_callback_thread でのトレースバック |
|
|
Cisco ASA および FTD における AnyConnect アクセス制御リストのバイパスの脆弱性 |
|
|
パススルーデバイスとして GRE TUNNEL および FTD を介した MD5 認証を使用すると、BGP を確立できない |
|
|
ASA/FTD:SIP-SDP ヘッダーの接続情報が、destination static Anyで変換されないままになる |
|
|
FTD がエラー「IPv4 宛先の実際のオブジェクトアドレス範囲が広すぎます(IPv4 dst real obj address range is huge)」で NAT ルールの作成に失敗することがある |
|
|
emblem が設定され、 buffer logging が debug に設定されている場合に一貫性のないログメッセージが表示される |
|
|
マルチコンテキストの ASA で、MIO HB のリカバリ後でもスタンバイデバイスが失敗状態で表示される。 |
|
|
validation-usage ssl-server を使用しない場合、ASA と Umbrella の統合が機能しない。 |
|
|
スレッド名 **CP Crypto Result Processing** での ASA トレースバックとリロード |
|
|
グローバル VRF またはユーザー VRF 間のルーティング時にファイアウォールがパケットをドロップすることがある |
|
|
アップグレード後に ASA access-list エントリのハッシュが同じになる |
|
|
[IMS_7_4_0] - 仮想 FDM のアップグレードが失敗する:UpgradeOnStandby 実行後に HA configStatus='OUT_OF_SYNC となる |
|
|
FTD:GRE トラフィックが CPU コア間で負荷分散される |
|
|
証明書グループマップが設定されている場合、AnyConnect Ikev2 ログインに失敗する |
|
|
プロセス名「Lina」を示す ASA/FTD のトレースバックが発生することがある |
|
|
クラスタ構成のセットアップで、スレッド名「ssh/client」でのトレースバックが発生する |
|
|
FTD クラスタのアップグレード中にスレッド名 cli_xml_request_process で Lina がクラッシュする |
|
|
nat_remove_policy_from_np で 99.20.1.16 lina がクラッシュする |
|
|
Cisco ASA および FTD VPN Web クライアントサービスのクライアント側要求のスマグリングの脆弱性 |
|
|
廃止された暗号を使用した VPN ロードバランシング クラスタ暗号化 |
|
|
アップグレード後にドット付きの FTD ユーザー名が AAA-RADIUS 外部認証ログインに失敗する |
|
|
FTD/Lina:ローエンドプラットフォームでの Msglyr プールメモリの減少により ZMQ が OUT OF MEMORY を発行する。 |
|
|
AWS GWLB の背後にある FTDv シングルアームプロキシが、geneve-invalid-udp-checksum が原因でドロップする |
|
|
FMC 1600 プロセス ssp_snmp_trap_fwdr のメモリ使用率が高い |
|
|
Cisco ASA ソフトウェアおよび FTD ソフトウェアの SAML アサーションのハイジャックの脆弱性 |
|
|
ASA/FTD:NAT L7 インスペクションの書き換えによるトレースバックとリロード |
シスコの一般規約
シスコのソフトウェア使用時には、シスコの一般規約(その他の関連規約を含む)が適用されます。以下の住所宛てに物理コピーをリクエストできます。Cisco Systems, Inc., P.O. Box 641387, San Jose, CA 95164-1387。シスコから購入したシスコ以外のソフトウェアでは、該当するベンダーのライセンス条項に従う必要があります。関連項目:https://cisco.com/go/generalterms
関連資料
ASA の詳細については、『Navigating the Cisco Secure Firewall ASA Series Documentation』を参照してください。
フィードバック