Cisco ASA シリーズ 9.8(x) リリース ノート

このドキュメントには、Cisco ASA ソフトウェア バージョン 9.8(x) のリリース情報が記載されています。

特記事項

  • ASA 5506-X、5508-X、および 5516-X の ROMMON のバージョン 1.1.15 へのアップグレード:これらの ASA モデルには新しい ROMMON バージョンがあります(2019 年 5 月 15 日)。最新バージョンにアップグレードすることを強くお勧めします。アップグレードするには、『ASA Configuration Guide』の手順を参照してください。


    注意    

    1.1.15 の ROMMON のアップグレードには、以前の ROMMON バージョンの 2 倍の時間がかかります(約 15 分)。アップグレード中はデバイスの電源を再投入しないでください。アップグレードが 30 分以内に完了しないか、または失敗した場合は、シスコ テクニカル サポートに連絡してください。デバイスの電源を再投入したり、リセットしたりしないでください


  • AnyConnect 4.4 または 4.5 で SAML 認証を使用しており、ASA バージョン 9.7.1.24、9.8.2.28、または 9.9.2.1(リリース日:2018 年 4 月 18 日)を展開している場合、SAML のデフォルト動作は、AnyConnect 4.4 および 4.5 でサポートされていない組み込みブラウザになります。したがって、AnyConnect 4.4 および 4.5 クライアントが外部(ネイティブ)ブラウザを使用して、SAML で認証するには、トンネル グループ設定で saml external-browser コマンドを使用する必要があります。


    (注)  

    saml external-browser コマンドは、AnyConnect 4.6 以降にアップグレードするクライアントの移行のために使用されます。セキュリティ上の制限のため、AnyConnect ソフトウェアをアップグレードする際の一時的な移行の一環としてのみこのソリューションを使用してください。今後、このコマンド自体がサポートされなくなります。


  • Amazon Web サービスの ASAv については 9.8(1) にアップグレードしないようにしてください。CSCve56153 のため、9.8(1) にアップグレードするべきではありません。アップグレード後に、ASAv はアクセス不能になります。代わりに 9.8(1.5) 以降にアップグレードしてください。

  • ASAv5 のメモリの問題:バージョン 9.7(1) 以降、ASAv5 では、AnyConnect の有効化やファイルの ASAv へのダウンロードなどの特定の機能が失敗した場合に、メモリが枯渇することがあります。次のバグは 9.8 (1.5) で修正され、メモリ機能を透過的に改善し、必要に応じて ASAv5 により多くのメモリを割り当てられるようになりました(CSCvd90079 および CSCvd90071)。

  • ASA 9.x で使用する RSA ツールキットのバージョンは、ASA 8.4 で使用されたバージョンとは異なるため、これらの 2 つのバージョン間で PKI の動作に違いが生じます。

    たとえば、9.x ソフトウェアを実行している ASA では、フィールド長が 73 文字までの [Organizational Name Value](OU)フィールドをもつ証明書のインポートが許可されます。8.4 ソフトウェアを実行している ASA では、60 文字までの OU フィールド名をもつ証明書のインポートが許可されます。この相違のため、ASA 9.x でインポートできる証明書を ASA 8.4 ではインポートできません。ASA 9.x 証明書をバージョン 8.4 を実行している ASA にインポートしようとすると、エラー「ERROR: Import PKCS12 operation failed.」が表示されます。

システム要件

このセクションでは、このリリースを実行するためのシステム要件を一覧表で示します。

ASA と ASDM の互換性

ASA/ASDM ソフトウェアおよびハードウェアの要件およびモジュールの互換性を含む互換性の詳細については、『Cisco ASA Compatibility』を参照してください。

新機能

このセクションでは、各リリースの新機能を示します。


(注)  

『syslog メッセージ ガイド』に、新規、変更済み、および廃止された syslog メッセージを記載しています。


ASA 9.8(4) の新機能

リリース日:2019 年 4 月 24 日

機能

説明

VPN 機能

webVPN HSTS へのサブドメインの追加

ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。

新規/変更されたコマンド: hostname(config-webvpn) includesubdomains

9.12(1) でも同様です。

管理機能

非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可

非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。多くの専門クライアント(python ライブラリ、curl、wget など)は、クロスサイト要求の偽造(CSRF)トークンベースの認証をサポートしていないため、これらのクライアントが ASA 基本認証方式を使用することを明確に許可する必要があります。セキュリティ上の理由から、必要なクライアントのみを許可する必要があります。

新規/変更されたコマンド: http server basic-auth-client

9.12(1) でも同様です。

show tech-support に追加の出力が含まれている

show tech-support の出力が拡張され、次の出力が表示されるようになりました。

  • show ipv6 interface

  • show aaa-server

  • show fragment

新規/変更されたコマンド: show tech-support

9.12(1) でも同様です。

SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート

CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。

新規/変更されたコマンド:snmp-server enable oid

9.10(1) でも同様です。

ASA 9.8(3) の新機能

リリース日:2018 年 7 月 2 日

機能

説明

プラットフォーム機能

Firepower 2100 アクティブ LED はスタンバイ モードのときにオレンジ色に点灯するようになりました。

以前は、スタンバイ モード時にはアクティブ LED は点灯していませんでした。

ファイアウォール機能

カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート。

ユーザ ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザがログアウトすると、その IP アドレスのすべてのユーザがログアウトされます。

新規/変更されたコマンド:aaa authentication listener no-logout-button

Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー

デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。

新規/変更されたコマンド:cts sxp delete-hold-down period show cts sxp connection brief show cts sxp connections

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新規/変更されたコマンド: saml external-browser

ASA 9.8(2) の新機能

リリース:2017年8月28日

機能

説明

プラットフォーム機能

FirePOWER 2100 シリーズ用の ASA

FirePOWER 2110、2120、2130、2140 用の ASA を導入しました。FirePOWER 4100 および 9300 と同様に、FirePOWER 2100 は基盤の FXOS オペレーティング システムを実行してから、ASA オペレーティング システムをアプリケーションとして実行します。FirePOWER 2100 実装では、FirePOWER 4100 および 9300 よりも緊密に FXOS を ASA と連携させます(軽量な FXOS 機能、単一デバイス イメージ バンドル、ASA および FXOS の両方に対する簡単な管理アクセス)。

FXOS には、EtherChannel の作成、NTP サービス、ハードウェアのモニタリング、およびその他の基本機能を含む、インターフェイスの構成ハードウェア設定があります。この構成では、Firepower Chassis Manager または FXOS CLI を使用できます。ASA には、(FirePOWER 4100 および 9300 とは異なり)スマート ライセンスを含む、その他すべての機能があります。ASA および FXOS はそれぞれ、管理 1/1 インターフェイスでの独自の IP アドレスを持っています。ユーザは、任意のデータ インターフェイスから ASA および FXOS インスタンス両方の管理を設定できます。

次のコマンドが導入されました。connect fxos、fxos https、fxos snmp、fxos ssh、ip-client

国防総省(DoD)統合機能認定製品リスト

ASA は、統合機能認定製品リスト(UC APL)の要件に準拠するように更新されました。このリリースでは、fips enable コマンドを入力すると、ASA がリロードされます。フェールオーバーを有効にする前に、両方のフェールオーバー ピアが同じ FIPS モードになっている必要があります。

fips enable コマンドが変更されました。

Amazon Web Services M4 インスタンスの ASAv サポート

ASAv を M4 インスタンスとして展開できるようになりました。

変更されたコマンドはありません。

ASAv5 1.5 GB RAM 機能

バージョン 9.7(1) 以降、ASAv5 では、AnyConnect の有効化やファイルの ASAv へのダウンロードなどの特定の機能が失敗した場合に、メモリが枯渇することがあります。1.5 GB の RAM を ASAv5 に割り当てられるようになりました(1 GB から増加しました)。

変更されたコマンドはありません。

VPN 機能

HTTP Strict Transport Security(HSTS)ヘッダーのサポート

HSTS は、クライアントレス SSL VPN でのプロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護します。これにより Web サーバは、Web ブラウザ(またはその他の準拠しているユーザ エージェント)が Web サーバと通信するにはセキュア HTTPS 接続を使用する必要があり、非セキュアな HTTP プロトコルを使用して通信することはできないことを宣言できます。HSTS は IETF 標準化過程プロトコルであり、RFC 6797 で指定されます。

次のコマンドが導入されました。hsts enable, hsts max-age age_in_seconds

インターフェイス機能

ASAv50 の VLAN サポート

ASAv50 では、SR-IOV インターフェイスの ixgbe-vf vNIC で VLAN がサポートされるようになりました。

変更されたコマンドはありません。

ASA 9.8(1.200) の新機能

リリース:2017年7月30日


(注)  

このリリースは、Microsoft Azure の ASAv でのみサポートされます。これらの機能は、バージョン 9.8(2) ではサポートされていません。


機能

説明

ハイ アベイラビリティとスケーラビリティの各機能

Microsoft Azure での ASAv のアクティブ/バックアップの高可用性

アクティブな ASAv の障害が Microsoft Azure パブリック クラウドのバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可するステートレスなアクティブ/バックアップ ソリューション。

次のコマンドが導入されました。failover cloud

ASDM サポートはありません。

ASA 9.8(1) の新機能

リリース:2017年5月15日

機能

説明

プラットフォーム機能

ASAv50 プラットフォーム

ASAv 仮想プラットフォームに、10 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス ASAv50 プラットフォームが追加されました。ASAv50 には ixgbe-vf vNIC が必要です。これは VMware および KVM でのみサポートされます。

ASAv プラットフォームの SR-IOV

ASAv 仮想プラットフォームでは、Single Root I/O Virtualization(SR-IOV)インターフェイスがサポートされます。これにより、複数の VM でホスト内の 1 つの PCIe ネットワーク アダプタを共有できるようになります。ASAv SR-IOV サポートは、VMware、KVM、および AWS でのみ使用可能です。

ASAv での自動 ASP ロード バランシングのサポート

以前は、ASP ロード バランシングは手動でのみ有効または無効にできました。

次のコマンドを変更しました。asp load-balance per-packet-auto

ファイアウォール機能

TLS プロキシ サーバの SSL 暗号スイートの設定サポート

ASA が TLS プロキシ サーバとして動作している場合は、SSL 暗号スイートを設定できるようになりました。以前は、 ssl cipher コマンドを使用した ASA のグローバル設定のみが可能でした。

次のコマンドが導入されました。 server cipher-suite

ICMP エラーのグローバル タイムアウト

ASA が ICMP エコー応答パケットを受信してから ICMP 接続を削除するまでのアイドル時間を設定できるようになりました。このタイムアウトが無効(デフォルト)で、ICMP インスペクションが有効に設定されている場合、ASA はエコー応答を受信するとすぐに ICMP 接続を削除します。したがって、終了しているその接続に対して生成されたすべての ICMP エラーは破棄されます。このタイムアウトは ICMP 接続の削除を遅らせるので、重要な ICMP エラーを受信することが可能になります。

次のコマンドが追加されました。 timeout icmp-error

ハイ アベイラビリティとスケーラビリティの各機能

改善されたクラスタ ユニットのヘルス チェック障害検出

ユニット ヘルスチェックの保留時間をより低めの値に設定できます(最小値は .3 秒)以前の最小値は .8 秒でした。この機能は、ユニット ヘルス チェック メッセージング スキームを、コントロール プレーンのキープアライブからデータ プレーンのハートビートに変更します。ハートビートを使用すると、コントロール プレーン CPU のホッギングやスケジューリングの遅延の影響を受けないため、クラスタリングの信頼性と応答性が向上します。保留時間を短く設定すると、クラスタ制御リンクのメッセージング アクティビティが増加することに注意してください。保留時間を短く設定する前にネットワークを分析することをお勧めします。たとえば、ある保留時間間隔の間に 3 つのハートビート メッセージが存在するため、クラスタ制御リンクを介してあるユニットから別のユニットへの ping が保留時間/3 以内に戻ることを確認します。保留時間を 0.3 ~ 0.7 に設定した後に ASA ソフトウェアをダウングレードした場合、新しい設定がサポートされていないので、この設定はデフォルトの 3 秒に戻ります。

次のコマンドを変更しました。health-check holdtime、show asp drop cluster counter、show cluster info health details

Firepower 4100/9300 シャーシに対してインターフェイスを障害としてマークするために設定可能なデバウンス時間

ASA がインターフェイスを障害が発生していると見なし、クラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。

新規または変更されたコマンド:health-check monitor-interface debounce-time

VPN 機能

VTI での IKEv2、証明書ベース認証、および ACL のサポート

仮想トンネル インターフェイス(VTI)は、BGP(静的 VTI)をサポートするようになりました。スタンドアロン モードとハイ アベイラビリティ モードで、IKEv2 を使用できます。IPsec プロファイルにトラストポイントを設定することにより、証明書ベースの認証を使用できます。また、入力トラフィックをフィルタリングする access-group コマンドを使用して、VTI 上でアクセス リストを適用することもできます。

IPsec プロファイルのコンフィギュレーション モードに次のコマンドが導入されました。set trustpoint

モバイル IKEv2(MobIKE)はデフォルトで有効になっています

リモート アクセス クライアントとして動作するモバイル デバイスは、移動中にトランスペアレント IP アドレスを変更する必要があります。ASA で MobIKE をサポートすることにより、現在の SA を削除せずに現在の IKE セキュリティ アソシエーション(SA)を更新することが可能になります。MobIKE は [always on] に設定されます。

次のコマンドが導入されました。ikev2 mobike-rrc。リターン ルータビリティのチェックを有効または無効にするために使用されます。

SAML 2.0 SSO の更新

SAML 要求におけるシグネチャのデフォルト署名メソッドが SHA1 から SHA2 に変更され、ユーザが rsa-sha1、rsa-sha256、rsa-sha384、rsa-sha512 の中から署名メソッドを選択して設定できるようになりました。

webvpn モードでの saml idp signature コマンドが変更されました。このコマンドには value を設定できます。デフォルトは [disabled] のままです。

tunnelgroup webvpn-attributes の変更 pre-fill-username および secondary-pre-fill-username の値が clientless から client に変更されました。

webvpn モードでの pre-fill-username および secondary-pre-fill-username コマンドが変更されました。これらのコマンドには client 値を設定できます。

AAA 機能

ログイン履歴

デフォルトでは、ログイン履歴は 90 日間保存されます。この機能を無効にするか、期間を最大 365 日まで変更できます。1 つ以上の管理メソッド(SSH、ASDM、Telnet など)でローカル AAA 認証を有効にしている場合、この機能はローカル データベースのユーザ名にのみ適用されます。

次のコマンドが導入されました。aaa authentication login-history、show aaa login-history

パスワードの再利用とユーザ名と一致するパスワードの使用を禁止するパスワード ポリシーの適用

最大 7 世代にわたるパスワードの再利用と、ユーザ名と一致するパスワードの使用を禁止できるようになりました。

次のコマンドが導入されました。password-history、password-policy reuse-interval、password-policy username-check

SSH 公開キー認証を使用するユーザの認証とパスワードを使用するユーザの認証を区別します。

9.6(2) より前のリリースでは、ローカル ユーザ データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザ名にのみ適用されます。また、任意の AAA サーバ タイプ (aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザはローカル データベースを使用して公開キー認証を使用し、他のユーザは RADIUS でパスワードを使用できます。

変更されたコマンドはありません。

バージョン 9.6(3) でも同様です。

モニタリング機能とトラブルシューティング機能

ASA クラッシュ発生時に実行中のパケット キャプチャの保存

以前は、ASA がクラッシュするとアクティブなパケット キャプチャは失われました。現在は、クラッシュが発生すると、パケット キャプチャは disk 0 に以下のファイル名で保存されます。[context_name.]capture_name.pcap

変更されたコマンドはありません。

ソフトウェアのアップグレード

このセクションには、アップグレードを完了するためのアップグレード パス情報とリンクが記載されています。

ASA のアップグレード パス

現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。

  • CLI:show version コマンドを使用します。

  • ASDM:[ホーム(Home)] > [デバイス ダッシュボード(Device Dashboard)] > [デバイス情報(Device Information)] の順に選択します。

次の表で、お使いのバージョンのアップグレード パスを参照してください。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要な場合があります。推奨バージョンは太字で示されています。

現在のバージョン

暫定アップグレード バージョン

ターゲット バージョン

9.7(x)

次のいずれかになります。

9.8(x)

→ 9.7(x)

9.6(x)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

9.5(x)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

9.4(x)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

9.3(x)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

9.2(x)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

9.1(1)

→ 9.1(2)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

9.0(2)、9.0(3)、または 9.0(4)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

9.0(1)

→ 9.0(2)、9.0(3) または 9.0(4)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

8.6(1)

→ 9.0(2)、9.0(3) または 9.0(4)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

8.5(1)

→ 9.0(2)、9.0(3) または 9.0(4)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

8.4(5+)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

8.4(1) ~ 8.4(4)

次のいずれかになります。

→ 9.0(2)、9.0(3) または 9.0(4)

→ 8.4(6)

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

8.3(x)

→ 8.4(6)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

8.2(x) 以前

→ 8.4(6)

次のいずれかになります。

9.8(x)

→ 9.7(x)

→ 9.6(x)

→ 9.5(x)

→ 9.4(x)

→ 9.3(x)

→ 9.2(x)

→ 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4)

アップグレード リンク

アップグレードを完了するには、『ASA Upgrade Guide』を参照してください。

未解決のバグおよび解決されたバグ

このリリースで未解決のバグおよび解決済みのバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコ ハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守する Cisco バグ追跡システムにアクセスできます。


(注)  

Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントがない場合は、アカウントを登録できます。シスコ サポート契約がない場合は、ID でのみバグを探すことができます。検索は実行できません。


Cisco Bug Search Tool の詳細については、Bug Search Tool Help & FAQ を参照してください。

バージョン 9.8(x) で未解決のバグ

次の表に、このリリース ノートの発行時点で未解決のバグを示します。

警告 ID 番号

説明

CSCvj28716

複数のピアを持つ ASA VPN がフェールオーバー後に着信パケットをドロップする

CSCvk69317

暗号部分での設定の生成により設定変更せずに変更される

CSCvn03552

スレッド名を使用した ASA のトレースバック:キャプチャを削除して設定を保存した後の CFG CLI Rep

CSCvn15387

「Thread Name: IKE Daemon」でのアクティブ ユニットのトレースバック

CSCvn65598

ASDM のロードが「The flash device is in use by another task」というエラー メッセージが表示されて失敗する

CSCvn82441

[SXP] FPR-2110 の ASA とスイッチ間での SXP 接続の確立に関する問題

CSCvo08881

ASA が conn-max exceeded syslog に負の値を記録し、許可済みのトラフィックをドロップすることがある

CSCvo14961

「dns_cache_timer」プロセスの終了を待機している間に ASA がトレースバックし、リロードすることがある。

CSCvo30697

LINA キャプチャがさまざまなプラットフォームに適用されている場合のスループットの低下

CSCvo33216

FasterXML jackson-databind axis2-jaxws クラスのサーバ側要求の偽装

CSCvo33218

FasterXML jackson-databind openjpa クラスのブロッキングの脆弱性

CSCvo33220

FasterXML jackson-databind jboss-common-core クラスのブロッキングの脆弱性

CSCvo33222

FasterXML jackson-databind axis2-transport-jms クラスのブロッキングの脆弱性

CSCvo33223

FasterXML jackson-databind slf4j-ext クラスの任意のコードの実行に対する脆弱性

CSCvo33224

FasterXML jackson-databind Blaze-ds-Opt クラスおよび Blaze-ds-Core クラスの任意のコードの実行に対する脆弱性

CSCvo33226

FasterXML jackson-databind ポリモーフィック型逆シリアル化における外部 XML エンティティ攻撃に対する脆弱性

CSCvo45738

ASA L2TP クライアントがローカル プールから IP アドレスを受信できない

CSCvo45755

box stall mid-transfer への ASA SCP 転送

CSCvo74631

IKEv2:両側がイニシエータとして設定されている場合に VTI トンネルが予期したとおりに機能しない

CSCvo79255

モニタインターフェイスが有効になっている場合に OSPF への BGP 再配布が正しく動作しない

CSCvo85588

TCP syslog サーバに到達できていない間にセカンダリ/アクティブ FTD が接続をブロックしない。

CSCvp14697

DATAPATH スレッド名 SXP CORE での ASA のトレースバック

CSCvp18878

ASA:データパスでのウォッチドッグのトレースバック

CSCvp22166

CPU が「dns_cache_timer」スレッドに対して解放されないため、ASA がトレースバックし、リロードすることがある。

CSCvp23530

write standby または reload 後に、OSPF neighbor コマンドがスタンバイに複製されない

解決済みのバグ

このセクションでは、リリースごとに解決済みのバグを一覧表で示します。

バージョン 9.8(4) で解決済みのバグ

次の表に、このリリース ノートの発行時点で解決済みのバグを示します。

警告 ID 番号

説明

CSCux69220

DHCP での WebVPN 「enable intf」、ASA ブート時の CLI の欠落

CSCuz70352

リモート アクセス VPN を介して SSH 接続できない(Telnet、ASDM 動作時)

CSCvd28906

十分な LCMB メモリを割り当てることができないため、5506 での最初のブート時に ASA がトレースバックする

CSCvd76939

ASA ポリシーマップ設定がクラスタのスレーブに複製されない

CSCve53415

キャプチャ実行中に DATAPATH スレッドで ASA がトレースバックする

CSCve85565

syslog が VPN トンネルを介して送信されるとトレースバックする

CSCve95403

FIPS ブート テスト後に送信されたログが原因で ASA がブートループする

CSCvf83160

スレッド名 DATAPATH-2-1785 でのトレースバック

CSCvf85831

イメージのアップロード中に ASDM がエラーを表示する

CSCvg36254

FTD 診断インターフェイスが br1 管理サブネットの ARP をプロキシする

CSCvg40735

GTP インスペクションが CPU 使用率をスパイクさせることがある

CSCvg65072

Cisco ASA SW、FTD SW、および AnyConnect セキュア モビリティ クライアント SAML 認証のセッション固定攻撃に対する脆弱性

CSCvg76652

ポートチャネルのサブ インターフェイス不一致のデフォルト DLY 値

CSCvh01213

トラフィックの処理時に ASA がトレースバックし、リロードすることがある

CSCvh14743

NAT 検出ペイロードを使用した DPD により Strongswan/サードパーティ製クライアントとの IKEv2 MOBIKE セッションが失敗する。

CSCvh16252

接続複製時に ASA がスレッド名 fover_rep でトレースバックし、リロードすることがある

CSCvh26447

MIO ブレードのハートビート障害により Firepower 2100 シリーズで障害が報告されることがある

CSCvh55035

Firepower Threat Defense デバイスが Nexus 9000 を使用して ERSPAN を確立できない

CSCvh55340

REST API の完全バックアップを介して設定を実行している ASA に指定されたコンテキスト設定が含まれていない

CSCvh83849

デュアル ISP とバックアップ IPSEC トンネルを使用した DHCP リレーによりフラップが発生する

CSCvh95302

IPv6 アドレスがインターフェイスに設定されている場合、ASDM/WebVPN がリロード後に動作を停止する

CSCvh98781

ASA/FTD 導入エラー「Management interface is not allowed as Data is in use by this instance」

CSCvi03103

BGP ASN によってポリシーの展開が失敗する。

CSCvi07974

FTD:レイヤ 2 パケット(BPDU など)が snort の再起動中にドロップされる(インライン/パッシブ インターフェイスのみ)。

CSCvi19125

「np-sp-invalid-spi」という ASP によってマルチキャスト ip-proto-50(ESP)がドロップされる

CSCvi19220

IPv6 から IPv4 への NAT 変換の実行後に ASA が暗号化に失敗する

CSCvi34164

ASA が TCP/UDP syslog に 104001 メッセージおよび 104002 メッセージを送信しない

CSCvi37644

PKI:ASA が「Add CA req to pool failed. Pool full.」というエラーで CRL の処理に失敗する

CSCvi38151

ASA ペア:IPv6 スタティック/接続済みルートがアクティブ/スタンバイ ペア間で同期/複製されない。

CSCvi42008

stuck uauth エントリが AnyConnect ユーザ接続を拒否する

CSCvi46759

ホップ制限 0 でのパケットの処理を ASA に許可する(RFC 8200 に準拠)。

CSCvi51515

REST-API:500 内部サーバ エラー

CSCvi53708

CLI と REST-API の間の ASA NAT の位置の不一致が原因で REST が誤った設定を削除する

CSCvi54162

ピアが存在しない場合に「ha-replace」アクションが動作しない

CSCvi55464

ASA5585 デバイスの電源装置のシリアル番号が SNMP 応答に含まれない

CSCvi71622

スタンバイ FTD の DATAPATH でのトレースバック

CSCvi77643

HTTP のインスペクションによる FPR4120 でのダウンロードのハングとダウンロードの速度低下

CSCvi79691

LDAP over SSL 暗号化エンジン エラー

CSCvi79999

VTI 使用時の ARP トラフィックにより 256 バイトのブロック リークが確認される

CSCvi85382

ASA-IC-6GE-SFP-A モジュールが取り付けられている場合の ASA5515 の DMA のメモリ不足

CSCvi87214

IPv6 トラフィックに対するネイバー要請メッセージが確認される

CSCvi89194

pki ハンドル:増加し、減少しない

CSCvi90633

ASDM AC のダウンロード時に GUI 言語を編集しても FPR-21XX の変更が無視される

CSCvi96442

スレーブ ユニットが S2S の UDP/500 および IPSec パケットをマスターにリダイレクトせずにドロップする

CSCvi97729

フェールオーバーが「新規アクティブ」に移行しているときに to-the-box トラフィックがデータ インターフェイスの外にルーティングされる

CSCvi99743

Telnet アクセスを使用して「failover active」を実行した後に生じるスレッド「Logger」でのスタンバイ トレースバック

CSCvj06993

NSF による ASA の HA:ASA の HA でインターフェイス障害が発生した場合に NSF が正しくトリガーされない

CSCvj15572

インターフェイスの MAC アドレスの変更時にフローオフロードのリライト ルールが更新されない

CSCvj17314

バージョン 9.7 以前では ASA が SAML 設定に「no signature」を受け入れない

CSCvj32264

ASA:zonelabs-integrity:プロセス「Integrity FW task」によるトレースバックと高 CPU

CSCvj37448

ASA:リロード後にデバイスが SSL サーバ証明書パケットで ID 証明書のみを送信する

CSCvj37924

CWE-20:不適切な入力検証

CSCvj39858

トレースバック:スレッド名:IPsec message handler

CSCvj41748

WebVPN を介した Bonita BPM アプリの Web ページへのアクセスが失敗する

CSCvj42269

システム メモリが 101% と報告する syslog 321006 を ASA 9.8.2 が受信する

CSCvj42450

スレッド名 DATAPATH-14-17303 での ASA のトレースバック

CSCvj43591

ASA DHCP を使用した Firepower 2110 が正常に動作しない

CSCvj44262

portal-access-rule が「deny」から「permit」に変更される

CSCvj46777

Firepower Threat Defense 2100 ASA の原因不明のトレースバック

CSCvj47119

「clear capture /all」により Firepower 9300 MI の Firepower Threat Defense がクラッシュすることがある

CSCvj47256

後続のフェールオーバーが 2 回実行されと ASA SIP セッションと Skinny セッションがドロップされる

CSCvj48340

ASA のメモリ リーク:snp_svc_insert_dtls_session

CSCvj48542

TrustSec SXP 削除 ホールド ダウン タイマーの値を設定する必要がある

CSCvj49883

Firepower Threat Defense 2130-ASA-K9 での ASA のトレースバック

CSCvj50024

ASA portchannel lacp max-bundle 1 hot-sby ポートがリンク障害後にアップ状態にならない

CSCvj54840

コンテキスト ストレス テストの作成/削除により nameif_install_arp_punt_service でトレースバックが発生する

CSCvj56909

ASA モジュールによって生成される SACK パケットの SLE 値と SRE 値を ASA が非ランダム化しない

CSCvj58342

セキュリティ コンテキストの削除後にマルチキャストがドロップされる

CSCvj59347

CLI コマンドの結果として最大 255 文字のエラーの上限が削除されるか、または増加する

CSCvj67258

2 タプルおよび 4 タプルのハッシュ テーブルをロックレスに変更する

CSCvj67740

スタティック IPv6 ルート プレフィックスが ASA 設定から削除される

CSCvj67776

clear crypto ipsec ikev2 のコマンドがスタンバイに複製されない

CSCvj72309

FTD が BGP のグレースフル リスタート後に End-of-RIB のマーカーを送信しない

CSCvj73581

cli_xml_server スレッドでのトレースバック

CSCvj74210

「show service-policy inspect gtp pdp-context detail」実行時の「SSH」でのトレースバック

CSCvj75220

「virtual http」または「virtual telnet」の使用により、「same-security permit intra-interface」が誤って必要になる

CSCvj75793

2100/4100/9300:Management Center からキャプチャを停止/一時停止しても CPU 使用率が低下しない

CSCvj79765

アクティブ ASA での NetFlow 設定がスタンバイ ユニットで逆順に複製される

CSCvj88461

集約プレフィックスをフラッディングする前に特定のプレフィックスの回収アドバタイズメントがフラッディングされる

CSCvj88514

IP ローカル プールが同じ名前で設定されている

CSCvj89470

Cisco 適応型セキュリティ アプライアンスのダイレクト メモリ アクセスにおけるサービス拒否攻撃に対する脆弱性

CSCvj91449

各リブート後に IPv6 に対して logging host コマンドが有効になっている場合の ASA のトレースバック

CSCvj91619

1550 ブロックの枯渇により ASA が 6.2.3.3 をリロードする

CSCvj91815

CSM から ASA にファイルをコピーしようとしたときに発生する無効な HTTP 応答(SSL 通信中の IO エラー)

CSCvj91858

Cisco 適応型セキュリティ アプライアンスのアクセス コントロール リストにおけるバイパスの脆弱性

CSCvj92048

大規模な設定と ACL が原因で Slave Join 時にデータ インターフェイスの健全性チェックが失敗することがある

CSCvj92444

ASA がネイバー損失後にタイプ 7 NSSA を保持する

CSCvj95451

webvpn-l7-rewriter:IE でブックマークのログアウトが失敗する

CSCvj97157

JS ファイルでのクライアント リライターの問題により Web ページがロードされない

CSCvj97213

ASA IKEv2 キャプチャ タイプ isakmp が破損したパケットを保存しているか、またはパケットが欠落している

CSCvj97514

ASA スマート ライセンス メッセージングが「nonce failed to match」で失敗する

CSCvj98964

SCTP トラフィックにより ASA がトレースバックすることがある

CSCvk00985

ASA:9.6.4、9.8.2:フェールオーバー ロギング メッセージがユーザ コンテキストに表示される

CSCvk02250

「show memory binsize」および「show memory top-usage」で正しい情報が表示されない(修正完了)

CSCvk04592

ハーフクローズ状態の lina conn テーブルでフローがスタックする

CSCvk08377

9.8.2.20 を実行している ASA 5525 でメモリが枯渇する。

CSCvk08535

ASA が IKEv1 L2L トンネルグループに関する警告メッセージを生成する

CSCvk11898

v2 ハンドオフの処理中に GTP ソフト トレースバックが確認される

CSCvk13703

FlowControl が有効な場合に ASA5585 がプライオリティ RX リングを使用しない

CSCvk14537

SSH/Telnet の管理セッションが pc ftpc_suspend でスタックすることがある

CSCvk14768

スレッド名 DATAPATH-1-2325 での ASA のトレースバック

CSCvk18330

アクティブな FTP データ転送が FTP インスペクションと NAT で失敗する

CSCvk18378

show process(rip:inet_ntop6)実行時の ASA のトレースバックとリロード

CSCvk18578

ASA SSLVPN ログイン ページのカスタマイズをロードするために必要な圧縮の有効化

CSCvk19435

GTP APN 制限の解析時に不要な IE が存在するエラー

CSCvk20381

新しい ASAv Azure、KVM、および VMWare の導入でトレースバック ループが確認される

CSCvk26887

無効なコンテンツ エンコーディングによりローカル CA からの証明書のインポートが失敗する

CSCvk27686

ASDM/Telnet/SSHを介して QoS メトリックにアクセスするときに ASA のトレースバックとリロードが発生することがある

CSCvk29263

設定セッション内で変更をコミットした後に SSH セッションがスタックする

CSCvk30665

ASA の「snmp-server enable traps memory-threshold」で CPU が占有され、「no buffer」でドロップする

CSCvk30739

ASA CP コアのピン接続によりコアローカル ブロックが枯渇する

CSCvk31035

KVM(FTD):外部からの Web サーバのマッピングが他のプラットフォームと一貫した動作をしない

CSCvk34648

高スループットの LAN 間 VPN トラフィックによりデータ キー再生成で Firepower 2100 トンネルがフラップする

CSCvk36087

ASDM を介して ASA にログインすると syslog 611101 に 0.0.0.0 の IP がリモート IP として表示される

CSCvk36733

ASA の EtherChannel をアクティブ モードで設定すると huasan 製スイッチで MAC アドレスがフラップする

CSCvk38176

GTP インスペクションおよびフェールオーバーによるトレースバックとリロード

CSCvk43865

トレースバック:mutex ロック実行中の ASA 9.8.2.28

CSCvk45443

ASA クラスタ:NAT と高トラフィックによる CCL でのトラフィック ループ

CSCvk47583

ASA WebVPN:SAP Netweaver の誤った書き換え

CSCvk50815

GTP インスペクションが TCP パケットを処理してはならない

CSCvk51181

インターフェイスの編集と展開後に FTD IPV6 トラフィックが停止する:パート 1/2

CSCvk54779

フラグメント化したパケットに関する非同期キューの問題によりブロックが枯渇する:9344

CSCvk57516

暗号マップが正しくないために DMA メモリが不足して VPN 障害が発生する

CSCvk66771

CPU プロファイラがしきい値に達しないままサンプルを収集せずに実行を停止する

CSCvk66963

ASA 9.8.3 スマート ライセンスのデフォルト設定が誤っている

CSCvk67239

「Thread Name: Logger Page fault: Address not mapped」での FTD または ASA のトレースバックとリロード

CSCvk67569

ASA が、クライアントレス WebVPN の HTTP 応答ページで返されたチャンク化済み転送エンコーディングを処理できない

CSCvk70676

ASA がメッセージ本文として HTTP を送信するとクライアントレス WebVPN が失敗する

CSCvk72192

オーバーヘッドによるメモリ使用率が含まれているために「show memory」の「free memory」が正しく出力されない

CSCvk72958

インターフェイスに適用されている QoS が機能しない

CSCvm00066

ASA が「フラッシュからの読み取り中」に数時間にわたってスタックする

CSCvm01053

FPR9K-SM-44 での ASA 9.8(2)24 のトレースバック

CSCvm07458

EEM を使用して VPN 接続イベントを追跡するとトレースバックとリロードが発生することがある

CSCvm08769

アクティブ ユニットの IP を使用してスタンバイ ユニットが BFD パケットを送信すると BGP のネイバーシップが障害を起こす

CSCvm17985

BVI インターフェイスの管理アクセスを使用した write net コマンドの開始が成功しない

CSCvm19791

「capture stop」コマンドが asp-drop タイプのキャプチャで機能しない

CSCvm23370

ASA:PC cssls_get_crypto_ctxt によるメモリ リーク

CSCvm24706

GTP 削除ベアラー要求がドロップされている

CSCvm25972

ASA トレースバック:スレッド名 NIC Status Poll

CSCvm34983

IKEv2 Xuauth のインストールに失敗したため Spyker の IPSEC RAVPN が失敗する

CSCvm36138

v1 ホストが設定されている状態でそのホストからの v2c walk が成功する

CSCvm36362

ルート トラッキング エラー

CSCvm43975

SIP インスペクションの脆弱性による Cisco ASA および FTD のサービス拒否または高 CPU

CSCvm49283

オブジェクト グループの検索しきい値の作成がデフォルトで無効になっており、設定可能である。機能停止の原因となる。

CSCvm50421

ACE での OSPF/EIGRP と IPv6 の同時使用が原因で ASA が同期設定中にスレーブ/スタンバイでトレースバックする

CSCvm53531

Cisco 適応型セキュリティ アプライアンス ソフトウェアの特権昇格の脆弱性

CSCvm54827

Firepower 2100 ASA スマート ライセンスのホスト名の変更がスマート アカウントに反映されない

CSCvm55091

FP プラットフォームで「No Switchover」のステータスのままで HA 障害を起こしたプライマリ ユニットがアクティブと表示される

CSCvm56019

Cisco 適応型セキュリティ アプライアンスの WebVPN:VPN がブラウザを介して接続しない

CSCvm56371

同じ dACL が接続されているすべての AnyConnect クライアントの dACL を ASA が誤って削除する

CSCvm56719

スレッド名 vpnfol_thread_msg での高可用性スタンバイ ユニットのトレースバック

CSCvm65725

サーバの応答が大きすぎた場合に(ERR_RESPONSE_TOO_BIG)ASA Kerberos 認証で TCP への切り替えが失敗する

CSCvm67273

ASA:PC alloc_fo_ipsec_info_buffer_ver_1+136 によるメモリ リーク

CSCvm72378

ASA:CLI:ユーザにネットワーク オブジェクト「ANY」の作成を許可してはならない

CSCvm78449

log default コマンドでアクセス コントロール ライセンス エントリを変更できない

CSCvm80779

ASA が H323 H225 を検査しない

CSCvm80874

ASAv/FP2100 スマート ライセンス:ライセンスを登録/更新できない

CSCvm82290

IRB 設定でホストが到達不能な場合に ASA コア ブロックが枯渇する

CSCvm82930

FTD:重複する NAT ステートメントが設定されている場合に SSH から ASA へのデータ インターフェイスが失敗する

CSCvm85257

トラフィックを使用して vpn モードを変更するとスピン ロックがトレースバックする

CSCvm86443

イベント マネージャの出力でトレースルートの 1 行目のみがキャプチャされる

CSCvm87970

WebVPN クライアントレス:パスワード管理に関する問題

CSCvm91014

BVI IF を NTP 送信元インターフェイスとして設定すると NTP 同期が機能しない

CSCvm95669

ASA 5506 における http://x.x.x.x/asasfr-5500x-boot-6.2.3-4.img コピー中のエラー(デバイスにスペースが残っていない)

CSCvn03966

FTD:「object-group-search」が flexconfig を介してプッシュされるとすべての ACL が削除されて機能停止が発生する

CSCvn09322

FTD デバイスがアクティブ状態になった後に 5 分以内にリブートされる

CSCvn09367

管理者が ASA 5500-X に CXSC モジュールを取り付けられないようにする

CSCvn09583

メモリ不足の状態が検出されると、show memory の使用済みメモリに負の値が示される

CSCvn09640

FTD:パーサーからの ethertype ACL を信頼する機能が必要である。BPDU の通過を許可する必要がある

CSCvn13556

トランスペアレント モードでの実行時にポートチャネル IF のインターフェイス番号が未割り当てと表示される

CSCvn15757

NULL チェックなしの SCTP トラフィック インスペクションにより ASA がトレースバックすることがある

CSCvn17347

CPU プロファイリング結果表示時のトレースバックとリロード

CSCvn19823

ASA:失敗した SSL 接続が削除されず、DMA メモリが枯渇する

CSCvn22833

Firepower 4100 の ASA で ADI プロセスの開始に失敗する

CSCvn23254

Nameif がインターフェイスで設定されている場合に SNMPv2 が空の ifHCInOctets 値をプルする

CSCvn29446

アクティブ ASA での除外設定をスタンバイ ASA と同期できない

CSCvn30108

ASAv での「show memory」 CLI 出力が正しくない

CSCvn30393

AnyConnect の認証/DAP アセスメントの実行中に ASA が emweb/https でトレースバックする

CSCvn31347

ACL:アクセスグループの設定エラー後に ACL を設定できない

CSCvn32620

IKEv2 が他の VPN ライセンスの取得に失敗した

CSCvn32657

call-home で使用したインターフェイス設定を削除すると ASA がトレースバックする

CSCvn33943

HA 設定の同期を使用した wccp_int_statechange() でのスタンバイ ノードのトレースバック

CSCvn35014

OS アップグレード時の ASA ルートの変更

CSCvn37829

プライマリ DMA プールが枯渇すると、ASA は GCM(SSL)接続を許可して DMA_ALT1 を使用する必要がある

CSCvn38453

ASA:FIPS が有効な場合に Quovadis ルート証明書をトラストポイントとしてロードできない

CSCvn40592

証明書チェーンで「No certificate」コマンドを実行すると誤った証明書が削除される

CSCvn44201

IOS XE 16.5.1 以降で実行されているネイバーから送信された LLS TLV を持つ OSPF hello パケットが ASA によって破棄される

CSCvn44748

「show interface」の実行時に指定した仮想 MAC アドレスを表示できなかった

CSCvn46425

フェールオーバーは有効になっているが他のデバイスが到達不能の場合に AnyConnect の証明書認証と定期証明書認証が失敗する

CSCvn47599

RA VPN + SAML 認証により RADIUS サーバに対して 2 つの許可要求が発生する

CSCvn47800

ファイバの枯渇により ASA が新しい AnyConnect 接続の認証を停止する

CSCvn49180

ASA/FTD:CCL リンクのメンバインターフェイスの変更後に MAC アドレスが更新されない

CSCvn55007

キー再生成後に DTLS が失敗する

CSCvn61662

CXSC モジュールが継続的にリロードされるために ASA 5500-X が crashinfo を書き込まずにリロードすることがある

CSCvn62787

フロー テーブル設定の更新中に devcmd 障害時における CRUZ への複数回の再試行をサポートする方法

CSCvn64163

ディスクが FSCK になっている場合、ASA は電源再投入後の再起動に失敗する

CSCvn64418

Nokia 7705 ルータでの ISA3000 の相互運用性の問題

CSCvn67222

DPD がフェールオーバー後に機能せずフェールバックした場合に(まれに)機能停止が発生することがある

CSCvn68527

KP:AnyConnect がプールから使用している IP が使用可能と表示される

CSCvn69213

複数のスレッドが同じロックを待機しているために発生する ASA のトレースバックとリロード :ウォッチドッグ

CSCvn73962

IPSec を使用したデータパスでの ASA 5585 9.8.3.14 のトレースバック

CSCvn76829

SSL クライアントとしての ASA がハンドシェイク エラー パスでメモリ リークを起こす

CSCvn78174

inspect_process でのトレースバック

CSCvn78870

範囲外の allocate-interface コマンドによる ASA マルチコンテキストのトレースバックとリロード

CSCvn80394

ASA SNMP による CPU の占有

CSCvn94100

「Process Name: lina」| Netflow による ASA のトレースバック

CSCvn96898

SCP のダウンロードにより DMA_Pool で発生するバイナリ サイズ 1024 のメモリ リーク

CSCvn97591

パケット トレーサが「ERROR: TRACER: NP failed tracing packet」で失敗し、循環 ASP でキャプチャをドロップする

CSCvn97733

syslog ID 111005 が正しく生成されない

CSCvo02097

ASA クラスタを 9.10.1.7 にアップグレードするとトレースバックが発生する

CSCvo03808

OOM が原因で FMC からの展開が失敗し、理由が示されない

CSCvo06216

CSCuz22961 の hanover におけるスプリット DNS コミットの問題に対する 255 文字以上のサポート

CSCvo11077

新しい IKEv1 トンネルを確立して終了すると IPSec でメモリ リークが検出される

CSCvo12057

DHCPRelay がユニキャスト フラグ付きの DHCP Offer パケットを消費しない

CSCvo12504

モジュールの差異が発生した場合、フェールオーバー FSM はマルチコンテキストのアクティブ/アクティブでスタックする

CSCvo13497

「log default」キーワードのあるアクセスリストを削除できない

CSCvo15497

トンネル グループ:「no ikev2 local-authentication pre-shared-key」でローカル証明書の認証が削除される

CSCvo17775

新しいサブインターフェイスが追加され、「ac-address auto」が有効になると EIGRP が中断する

CSCvo23222

マルチコンテキスト展開でのリソースの問題により AnyConnect セッションが拒否される

CSCvo27109

9.6(4)6 から 9.6(4)20 へのアップグレード時にスタンバイがリブート ループに陥ることがある

CSCvo42174

ASA IPSec VPN EAP が PKI の有効な証明書をロードできない

CSCvo43795

OSPF プロセス のクリア後でも OSPF プロセス ID が変更されない

CSCvo45230

ASA5506:IBR:インターフェイスが IBR モードの BVI にある場合にホスト名を使用して ping を実行できない

CSCvo47562

キー再生成中に PKI ハンドルが解放されないため、VPN セッションが失敗する

CSCvo51265

SCP のボックスへの大規模なファイル転送によりトレースバックが発生する

CSCvo55151

VTI が存在する場合に crypto ipsec inner-routing-lookup の設定を許可しないようにする必要がある

CSCvo56675

アクティブからスタンバイに切り替えようとしたときの ASA のトレースバックとリロードスレッド名:fover_FSM_thread

CSCvo58030

インターフェイスに設定されているフェールオーバー MAC アドレスでのサブインターフェイスの削除が許可されていない

CSCvo62031

IKE デバッグ実行中の ASA のトレースバックとリロード

CSCvo63240

アップグレード後にスマート トンネルのブックマークが機能せず、証明書エラーとなる

CSCvo64516

TCP の syslog がダウンしている場合に ASA がコマンド認可に失敗する

CSCvo66534

影響を受けるスレッドとしてデータパスを示すトレースバックとリロード

CSCvo74350

ASA がトレースバックしリロードすることがある。WebVPN トラフィックに関連する可能性がある

CSCvo93872

GTP トラフィックの検査中のメモリ リーク

バージョン 9.8(3) で解決済みのバグ

次の表に、このリリース ノートの発行時点で解決済みのバグを示します。

警告 ID 番号

説明

CSCsj42456

ASA 8.0:CSCOPF.CAB に期限が切れたコード署名証明書がある

CSCth11758

集約認証のデバッグではパスワードをマスクする必要がある

CSCuj98977

「show service set conn detail」を実行したときのスレッド SSH での ASA のトレースバック

CSCuu67159

ASA:DATAPATH-2-1157 でのトレースバック

CSCuv68725

ASA が「log disable」オプションを使用して ACE を削除できない

CSCuy57310

Cisco 適応型セキュリティ アプライアンスのトラフィック フローの機密性におけるサービス拒否攻撃に対する脆弱性

CSCuy60200

ユニコーン プロキシ スレッドでの ASA のトレースバック

CSCva92997

snp_fp_qos での 9.7.1 のトレースバック

CSCvb53233

%ASA-1-199010 と %ASA-1-716528 の syslog メッセージによる ASA 9.1(7)9 のトレースバック

CSCvb97470

asa Rest-api:コンポーネント モニタリング:空の値/空白値

CSCvd20408

Threat Defense:ASA CLI でのインターフェイス キャプチャによりすべてのトラフィックがデータプレーンでドロップされる

CSCvd33004

フェールオーバーを設定するときの createFoverInterface での _lina_assert

CSCvd44525

ASA「show tech」の一部のコマンドが 2 回実行され、running-config/ak47 detailed/startup-config エラーが表示される

CSCvd53381

設定を保存/表示すると時間範囲の ACL により ASA がトレースバックする

CSCvd67907

ASA SSL クライアントが再ネゴシエーション要求に応答しない

CSCvd86411

ASA 9.6.2.11:クラスタでの CTP uauth による断続的な認証

CSCve02467

ENH:igp stale-route の低いほうのタイムアウト値を 10 秒未満の値に下げる必要がある

CSCve18902

Cisco 適応型セキュリティ アプライアンスの TLS におけるサービス拒否攻撃に対する脆弱性

CSCve20395

ASA ポータルの Java プラグインが最新の Java 更新で失敗する

CSCve34335

Cisco 適応型セキュリティ アプライアンスの TLS におけるサービス拒否攻撃に対する脆弱性

CSCve61540

Cisco 適応型セキュリティ アプライアンスのアプリケーション レイヤ プロトコルのインスペクションにおける DoS に対する脆弱性

CSCve72964

DATAPATH-1-2084 ASA 9.(8)1 でのトレースバック

CSCve73025

週末の VPN ロード テスト後に 1700 個の「4 バイト ブロック」がすべて枯渇した。

CSCve77049

ScanSafe インスペクションによる ASA メモリの枯渇

CSCve78652

スレッド名 CTM message handler における Kenton 上での ASA のトレースバック

CSCve84791

asp-drop をキャプチャすると、予期しない ASA 障害が発生する

CSCve93327

FTD での Snort IAB では Perfstat の提供に PDTS が必要になる

CSCve94349

SNMP:ユーザが再設定後のユーザリストまたはホストに追加されない

CSCve94917

CSCvb29688 に対する修正にもかかわらず、9.1 コードで古い VPN コンテキストに関する問題が確認された

CSCve97874

ASA:バージョン 9.6 以降での空き DMA メモリの不足(ASA 5515 のみに適用)

CSCvf04004

IPSec とトンネル グループ URL を使用した AnyConnect のマルチ証明書認証が失敗する

CSCvf10327

ENH:サブインターフェイスの作成時に一意の IPv6 リンクローカル アドレスが割り当てられる

CSCvf16310

AnyConnect クライアントに IPv6 アドレスが断続的に割り当てられる

CSCvf17214

破損した PKCS12 として ASA が ECDSA をエクスポートする

CSCvf18160

WebVPNと共有 storage-url config でのフェールオーバー同期時の ASA のトレースバック

CSCvf22930

フロー オフロードによる DATAPATH 内の 2100/4100/9300 のトレースバック時の FTD

CSCvf25666

空きメモリが不足している ASA で既存のクラスタの参加が失敗し、トレースバックとリロードが発生する可能性がある

CSCvf26463

ルーテッド モードの ASA 9.8.1 BVI が ASA から生成されたトラフィックに対するルート ルックアップを実行していない

CSCvf28292

DAP 設定は復元されるが、バックアップ復元後に非アクティブになる

CSCvf28749

mroute が設定されている場合に ASA が register stop を送信しない

CSCvf30738

SIP トラフィックがダイナミック NAT ルールにヒットしたため、ASA が DATAPATH でクラッシュする

CSCvf37947

カスタム ルーテッド コンテキストで ASA が BVi0 インターフェイスを作成する

CSCvf39539

送受信したバイト数と IP アドレス スイッチに NetFlow が大きな値を返す

CSCvf39679

既存の EIGRP 設定に新しいネットワークを追加できない

CSCvf40179

エラー:暗号マップを作成できない:エントリを追加するときに上限に到達する

CSCvf40650

証明書がスタンバイに同期しない/すべての証明書がスタンバイの導入後障害でクリアされる

CSCvf43019

WebVPN リライターが内部 URL が原因で失敗する

CSCvf43150

ASA// 9.6 // FTP インスペクションで、PAT を使用したアクティブ FTP 上のデータ トラフィックに新しい NAT 全体を割り当てられない

CSCvf43650

NSF が有効な状態で ASA フェールオーバーが実行されると OSPF ルートがピア デバイスにインストールされない

CSCvf46168

「no capture < name > stop」でキャプチャ ステータスが Stopped から変更されない

CSCvf49899

ENH:GOID の割り当てと同期のクリーンアップ

CSCvf51066

FXOS 上の ASA が SNMP Ifspeed OID (1.3.6.1.2.1.2.2.1.5)応答値 = 0 を送信している

CSCvf54981

ASA:80 バイト メモリ ブロックの枯渇

CSCvf56506

データパスでの ASA 9.6(2)、9.6(3) のトレースバック

CSCvf56774

KP:アクティブ ASA で「write mem all」を実行すると fover_parse のスタンバイ ASA で CPU が占有状態になる

CSCvf56917

ポートチャネルでのポート フラップ時に ASA が LACP PDU を送信しない

CSCvf57908

トランスペアレント ファイアウォール:誤った DSAP 値で Ethertype の ACL がインストールされる

CSCvf59524

最適化:複数の DATAPATH スレッドが同時コンパイル中の tmatch 構造体を読み取ることができる

CSCvf61419

NAT によるスレッド DATAPATH でのトレースバック

CSCvf62365

ASA:セカンダリ ASA がリロードされると、entConfigChange が予期せず送信される

CSCvf63108

送信元 IP アドレスが 0.0.0.0 の IGMP レポート パケットを ASA がドロップする

CSCvf63718

Cisco 適応型セキュリティ アプライアンスのフロー作成におけるサービス拒否攻撃に対する脆弱性

CSCvf64643

Firepower Threat Defense デバイスでのエラー:キャプティブポータル ポートが使用できない。もう一度やり直してください

CSCvf68666

FP2100 IFT の顧客が PC へのイメージのダウンロードに ASDM を使用できない

CSCvf72068

FXOS:トランスペアレント モードの ASA/FTD スタンバイ ユニットがオフロードされたフローのトラフィックを止めることがある

CSCvf72930

Firepower Threat Defense が登録時にスレッド名 appAgent_monitor_nd_thread でトレースバックすることがある

CSCvf74218

AWS GovCloud の ASAv イメージが時間単位の課金モードで動作しない

CSCvf76013

snp_egress_capture_sgt() での ASA のクラッシュ

CSCvf76281

IKEv2 RA 証明書認証。新しいセッションを割り当てることができない。最大セッション数に到達した

CSCvf77377

ホストスキャン:Microsoft および Panda の .dll ファイルのダウンロード時の cscan.log エラー

CSCvf79262

OpenSSL CVE-2017-3735「incorrect text display of the certificate」

CSCvf80539

リブート後に管理専用に復帰する

CSCvf81222

パケットが PBR に到達し、接続が確立されたときの 112 バイト bin でのメモリ リーク

CSCvf81672

EtherChannel に障害が発生した場合のフェールオーバー後に ASA ルートがフラッシュされる

CSCvf81932

K7 ライセンスによる 一部のインスペクションでの「Incomplete command」エラー

CSCvf82832

ASA:962 へのアップグレード後の ICMPv6 syslog メッセージ。

CSCvf83537

3 ノード のシャーシ内クラスタでのトラフィックによるトレースバック

CSCvf83709

CCL リンク障害によってスレーブがキック アウトされた後に再参加してもマルチコンテキスト モードで v3 ユーザが失われる

CSCvf85065

ASA:スレッド名 idfw_proc によるトレースバック

CSCvf87899

ASA:まれに発生したスケジューラの破損によってコンソール ロックが発生する

CSCvf89504

NAT が含まれていると ASA クラスタが IP フラグメントを断続的にドロップする

CSCvf90278

パケット キャプチャ バッファを有効にするか、またはクリアしたときの ASA/Firepower Threat Defense のトレースバック

CSCvf91098

Cisco Firepower 2100 シリーズのセキュリティ アプライアンスの IP フラグメンテーションにおけるサービス拒否攻撃に対する脆弱性

CSCvf92262

CSCvc82150 に対する修正にもかかわらず、ASA WebVPN HTTP の Strict-Transport-Security ヘッダーが欠落する

CSCvf94973

ASDM または show file system を介して AnyConnect イメージをアップロードするときの FP 2100 での ASA のトレースバック

CSCvf96773

PAT プールの範囲が非常に大きいことによるスタンバイ ASA の 高い CPU 使用率

CSCvg00265

OGS が有効になっている場合に、フェールオーバー HAが またはメモリが不足しているクラスタに ASA が再参加できない

CSCvg00565

「debug menu」セルフ テストの実行時に glib/g_slice で ASA がクラッシュする

CSCvg01016

ASA が DCERPC インスペクションのピンホールを作成せず、debug dcerpc が「MEOW not found」と表示する。

CSCvg01132

ASA:9.2(4) から 9.2(4)18 へのアップグレード後にシリアル接続がハングする

CSCvg01827

永久ライセンスの予約ライセンスが ASAv にインストールされない

CSCvg05250

「clear local-host <IP>」がすべてのホスト/接続の ASA クラスタ全体に存在するすべてのスタブ フローを削除する

CSCvg05368

クラスタ参加時にスレーブ ユニットが PAT のすべての接続で枯渇している ASA-3-202010: NAT/PAT プールを生成する

CSCvg05442

DATAPATH プロセスと WebVPN プロセス間でのデッドロックによる ASA のトレースバック

CSCvg06695

「Detect service module failure」により、Firepower 2100 Threat Defense ペアのレポートが失敗する

CSCvg07197

ASA:インスペクションが有効になっている場合の高いメモリ使用率

CSCvg08891

ASA 5555 9.6.3 のローカル証明書認証を使用した Wi-Fi 経由で iPhone IKEv2 PKI がリークする

CSCvg09778

DNS インスペクションにより CP 処理で ASA-SSP HA がリロードする

CSCvg12376

トラフィックの停止後にチャンク メモリがシステムに解放されない

CSCvg17478

Show OSPF Database コマンドによるトレースバック

CSCvg20796

サイト間セキュリティ VPN トンネルを介して DNS サーバが到達可能な場合に ASA ローカル DNS 解決が失敗する

CSCvg21077

1 つのノードが再参加し、トラフィックが再起動されると、snpi_untranslate が原因でユニット 100% CPU が発生する

CSCvg23028

Firepower Threat Defense(2100、4100、9300 シリーズ)で REST-API が残留する

CSCvg23945

ASA panic/crash spin_lock_fair_mode_enqueue:ロック(mps_shash_bucket_t)が長期間にわたって保持されている

CSCvg25175

SNMP ポートのスタティック NAT 設定により ASA がハング状態でスタックする

CSCvg25538

転送ポート:アイデンティティ UDP トラフィックにより 1550/2048/9344 バイトのメモリ ブロックが枯渇する

CSCvg25694

ポリシーの展開後にスタンバイ Firepower 4140 モジュール上でクラッシュする

CSCvg25983

ASA サイト間クラスタリング:ASA がユニキャスト ARP 要求を受信すると追加分の ARP が生成されない

CSCvg26548

SFR モニタリング モードで高 CPU が検出される

CSCvg28370

NAT ルールの変更時とパケット キャプチャが有効になっているときの ASA with Firepower Services でトレースバックが発生する

CSCvg29442

IPSec が有効になっている場合、高可用性が Active-Failed の状態になる。

CSCvg29692

HTTP クライアント(ファイル コピーなど)として動作している場合、ASA が接続を閉じられない場合がある

CSCvg30391

ifInDiscards の ASA SNMP OID が常に 0

CSCvg32179

Javascript 要素のリライターの問題

CSCvg32530

宛先 IP としてのサブネット アドレスに ASA ブロードキャストのパケットが送信される

CSCvg33669

「OCTEON:DROQ[8] idx: 494 len:0」メッセージがデバイスのコンソール アクセス時に表示される

CSCvg33985

Cisco 適応型セキュリティ アプライアンスの WebVPN クロスサイト スクリプティングの脆弱性

CSCvg35618

Cisco 適応型セキュリティ アプライアンスの Remote Code Execution とサービス拒否攻撃に対する脆弱性

CSCvg38437

64 文字を超える証明書からの ASA AC クライアントの PKI ユーザ名が 64 文字に切り詰められる

CSCvg39447

SNMP 展開の失敗によってポリシーのロールバックが発生する

CSCvg39694

FP4120/ASA 9.6(3)230 「established tcp」が SW アップグレード後に動作しなくなる

CSCvg43389

1550 ブロックの枯渇による ASA のトレースバック。

CSCvg44785

オフロードされたフローがアイドル タイマーを更新できず、接続が誤ってタイムアウトする

CSCvg45952

ASA のトレースバック:スレッド名 scansafe

CSCvg51984

IKE デーモンの高 CPU 使用率により、拡張された環境での VPN トンネルのコンバージェンスが遅くなる

CSCvg52545

inlineIPS モードの 9300 ペア の NGFW が SNAP パケットの更新を適切な VLAN タグでトリガーしない

CSCvg52995

ASA でパスワードの暗号化を有効にした後、システム コンテキストで設定を保存できない

CSCvg53981

ASA 9.8.2 上で「dir /recursive cache:/stc」と「dir cache:stc/2/」が異なる AnyConnect.xsd リストを作成する

CSCvg54185

9.8.2.8 バージョンで実行中の ASA 5506 でサイズ 80 のメモリ ブロックが枯渇する

CSCvg55617

ASA 9.8.1+ IKEv2 VPN のロードバランシングが IKE_AUTH の後に DELETE を送信する

CSCvg56122

SSL ハンドシェイクが大規模な証明書チェーンで失敗する

CSCvg56493

大きなファイルの ASA L2TP/IPSEC SMB アップロードが失敗する:tcp-buffer-timeout がドロップする

CSCvg57954

サービスオブジェクト グループの変更(オブジェクトの追加と削除)で ACE が削除される

CSCvg58385

ASA が PPPoe/VPDN インターフェイスで二重入力パケット トラフィックを誤って報告する

CSCvg58941

フローオフロードと高レートのフロー テーブルのコリジョンを使用した評価済みの CPU

CSCvg61799

Sysopt permit-vpn の動作が意図していないクリアテキスト トラフィックを阻止するように変更される

CSCvg61829

SSH/Telnet トラフィック、3-WHS、データを含む ACK パケットがドロップされる:理由(intercept-unexpected)

CSCvg62916

ASA:スレッド名:Dynamic Filter updater でのソフトウェアのトレースバック

CSCvg65072

Cisco ASA SW、FTD SW、および AnyConnect セキュア モビリティ クライアント SAML 認証のセッション固定攻撃に対する脆弱性

CSCvg66606

GTP エコー応答が ASA クラスタでドロップされる

CSCvg67135

ASA が x25519 という曲線とのサーバ キーの交換を受信すると接続を破棄する

CSCvg68914

TCP トラフィック処理中(StreamQueue)のセグメンテーション違反。

CSCvg72276

ASA クラスタで直接認証が機能しない。

CSCvg73231

ASA/FTD:フェールオーバー後の LSA の欠落により OSPFv3 が再配信を停止する

CSCvg81583

fover とその後に データ IFC がダウンしたときのインターフェイス障害から回復後のスプリット ブレーン

CSCvg82650

RDP セッションが ASA での SSL 証明書の変更後に確立されない。

CSCvg82932

vpnfol_memory_allocate と pnfol_data_dyn_string_allocator による ASA でのメモリ リーク

CSCvg83623

FTD:IPv6 トラフィックが 5 タプル アルゴリズムに従ってロードバランシングされない

CSCvg85765

Kenton:ポリシー展開時の ASA5506 のトレースバック

CSCvg85982

6.2.2 を実行中の Firepower Threat Defense で ERSPAN が動作しない

CSCvg89102

ASA:write erase の後にマルチセッション コマンドが設定される

CSCvg89215

3 ノード Firepower 9300 分散型クラスタ内のスレッド名 DATAPATH-1-27929 で ASA がクラッシュする

CSCvg90061

CSM がtcp-state-bypass ログの解析に失敗した

CSCvg90365

トランスペアレント ASA で IPv6 アドレスにより ICMP/Telnet トラフィックが失敗する

CSCvg90403

IRB がマルチキャスト トラフィックとともに使用されている場合にサイズ 80 のブロックのリークが観察される

CSCvg90820

フェールオーバーが実行されている間にマルチコンテキストの ASA の SSP がアクティブ/アクティブの状況に移行する

CSCvg91038

フロー オフロードで NAT 済みのトラフィックがトランスペアレント モードで動作していない

CSCvg97541

Firepower Threat Defense のプレフィルタ ポリシーが双方向フローの fast-path の一方向にのみポリシーを事前フィルタリングする

CSCvg98106

IPv6 アドレスへの ASA ping が指定された送信元 IP ではなく出力インターフェイスの送信元 IP を選択する

CSCvh03889

ASDM を介したフェールオーバー マスター パスフレーズのクラッシュ

CSCvh05081

ASA モジュールによって生成される SACK パケットの SLE 値と SRE 値を ASA が非ランダム化しない

CSCvh05193

ARP トラフィックはインスペクションのために Snort に送信するようにハードコーディングされてはならない

CSCvh13415

ASA:OpenSSL の脆弱性、CVE-2017-3737 と CVE-2017-3738

CSCvh14743

NAT 検出ペイロードを使用した DPD により Strongswan/サードパーティ製クライアントとの IKEv2 MOBIKE セッションが失敗する。

CSCvh15344

snmp:9.6(3)1 へのアップグレード後の snmpwalk の結果が異なる

CSCvh20742

Cisco 適応型セキュリティ アプライアンスのクライアントレス SSL VPN におけるクロスサイト スクリプティングの脆弱性

CSCvh23085

Cisco 適応型セキュリティ アプライアンスのアプリケーション レイヤ プロトコルのインスペクションにおける DoS に対する脆弱性

CSCvh23089

広範囲に及ぶ送信元オブジェクトを持つ ACL がヒット カウントを誤って追跡する

CSCvh23776

4140 シャーシの高可用性ペアでの両方の ASA のトレースバック

CSCvh27703

ASA:BGP show コマンド適用中のスレッド名 SSH でのトレースバック

CSCvh28309

hostscan が有効になっている状態で ASDM が動作を停止する。ASDM が hostscan が無効な状態で動作する。

CSCvh28763

ASA は ping 時に ICMPv6 エコーを送信するのに著しい時間がかかる。

CSCvh30261

コンテキスト変更/設定の同期時に ASA のウォッチドッグがトレースバックする

CSCvh32323

ASA 上の idfw コンポーネントのメモリ リーク

CSCvh32673

ASA 5506-x プラットフォーム上での解放済みメモリのシステムへの解放が遅い

CSCvh44149

ASAv5:9.8(2) 以降での空き DMA メモリの不足

CSCvh46202

VPN 経由のフラグメント化されたトラフィックにより 2048 バイト ブロックのリークが遅くなる

CSCvh47057

ASA:インスペクションが有効になっているときにゾーン内に設定されたインターフェイスで ICMP フローが「no-adjacency」によりドロップする

CSCvh48662

「no snmp-server host <interface> <ip-address>」が機能しない

CSCvh50032

ScanSafe アプリケーションの健全性チェックを完全に無効にできない

CSCvh53276

L2FW を通過する IPv6 プロトコルの 112 個のパケットが無効な IP 長メッセージでドロップされている

CSCvh53616

SSL により Firepower Threat Defense デバイス上の ASA がトレースバックする

CSCvh54940

スレッド名「idfw_proc」での ASA トレースバック

CSCvh55035

Firepower Threat Defense デバイスが Nexus 9000 を使用して ERSPAN を確立できない

CSCvh56214

ASA および Putty:着信パケットが復号化時に文字化けした

CSCvh56378

ASA backup コマンドがアイデンティティ証明書のバックアップに失敗する

CSCvh62164

Firepower 9300 スタンバイがアクティブ時に高 CPS トラフィックにより一括同期状態でスタックする

CSCvh63896

スレッド名 CP Processing での ASA のトレースバック

CSCvh67981

ASA 9.8.2 クラスタ サーバ ユニットがクラスタの参加と SNMPv3 同期時にトレースバックする

CSCvh69967

ASA モジュールと REST API の両方が有効になっている場合の 5506 トレースバック

CSCvh71738

アクセスグループ設定の削除後に FQDN オブジェクトが解決される

CSCvh72007

x-auth-token を REST API に使用するとユーザ名と権限の表示が不正になる

CSCvh73582

SIP インスペクション処理に関連するトレースバック

CSCvh75025

スタンバイ ユニットへのフェールオーバー時に ASA がトレースバックする

CSCvh75060

REST-API が特定のクエリに対して空の応答を返す

CSCvh77942

プライマリ ユニットの新しい証明書設定がアクティブ/アクティブ セットアップのスタンバイ ユニットに同期しない

CSCvh79732

Cisco 適応型セキュリティ アプライアンスにおけるサービス拒否攻撃に対する脆弱性

CSCvh81737

Cisco 適応型セキュリティ アプライアンスにおけるサービス拒否攻撃に対する脆弱性

CSCvh81870

Cisco 適応型セキュリティ アプライアンスにおけるサービス拒否攻撃に対する脆弱性

CSCvh83026

スレッド名 CTM メッセージ ハンドラーで ASA が断続的にトレースバックする

CSCvh83145

ASA インターフェイス IP とサブネット マスクが 0.0.0.0 0.0.0.0 に変更されるため、インターフェイス上のサービスが停止する

CSCvh85514

スレッド名 Unicorn Proxy Thread で ASA がトレースバックする

CSCvh89431

BVI を使用したルーテッド ASA での Skinny インスペクションで SCCP フォンが SCCP コールを登録または拒否できない

CSCvh90944

DHCP GIADDR フィールドの IP アドレスが DHCP DECLINE を DHCP サーバに送信した後に反転する

CSCvh90947

スレッド名 fover_parse で ASA がトレースバックする

CSCvh91053

DHCP 送信中の ASA が DHCP を介して AC クライアントへのアドレスの割り当てを拒否するか、または割り当てない

CSCvh91399

ASA5500 シリーズのファイアウォールのアップグレードによりブート ループが発生する(ROMMON を通過できない)

CSCvh92381

9.6.3.1 上で ASA がトレースバックし、ブート ループの状態になる

CSCvh95325

相手側の 9.2(4)27 からの複製時にスタンバイ ASA がトレースバックする

CSCvh95456

Cisco 適応型セキュリティ アプライアンスのアプリケーション レイヤ プロトコルのインスペクションにおける DoS に対する脆弱性

CSCvh97782

ベンダーのべき剰余の実装内で KP が不正なメモリ アクセスをトレースバックする

CSCvh99159

ASDM の RADIUS 認証/許可が失敗する

CSCvh99896

[ASA]:マスター エージェントがマルチコンテキスト モードのスタンバイ デバイスでユーザを見落とす

CSCvi01312

WebVPN:Confluence アプリケーションと Jira アプリケーションでの複数のレンダリングの問題

CSCvi01376

デフォルト以外の SSL コマンドがリブート時に Firepower 4100 から削除される

CSCvi06120

リブートしたフェールオーバー ペアへの切り替え後に vpn-idle-timeout がトリガーされない

CSCvi07636

ASA:スレッド名 UserFromCert でのトレースバック

CSCvi08450

ASA での CWS リダイレクションが特定の状況で SSL Client Hello の再送信を適切に処理しない

CSCvi16029

Cisco 適応型セキュリティ アプライアンスの WebVPN におけるサービス拒否攻撃に対する脆弱性

CSCvi16264

DATAPATH がコンパイル中の ACL 構造体にアクセスするとウォッチドッグのタイムアウトにより ASA がトレースバックし、リロードする

CSCvi19263

VPN コンテキストのスピン ロックの解放中に ASA 9.7.1.15 がトレースバックする

CSCvi22507

IKEv1 RRI:応答専用のリバース ルートがフェーズ 1 のキー再生成中に削除される

CSCvi23766

IKEv2 が Tunnel Manager のエントリをスタックさせる

CSCvi33962

WebVPN リライター:BMC Remedy でドロップダウン メニューが機能しない

CSCvi35805

ASA カットスルー プロキシでユーザは Web サイトにアクセスできるが「authentication failed」が表示される

CSCvi37889

キャプチャを削除した後でも、「ERROR: TRACER: NP failed tracing packet」でパケット トレーサが失敗する

CSCvi42965

ASA が「show memory」出力の下に正確な空きメモリを報告しない

CSCvi45567

snmpv1&2c ホスト グループが設定されていると snmpwalk を実行できない

CSCvi45807

ASA:リブート後に dns expire-entry-timer 設定が表示されなくなる

CSCvi46573

ASA:ダイナミック暗号マップを持つ IKEv2 S2S VPN:ASP テーブルが正しくプログラムされない

CSCvi55070

IKEv1 RRI:発信専用のリバース ルートがフェーズ 1 のキー再生成中に削除される

CSCvi58045

nteface shutdown コマンドが HA で複製されない。

CSCvi58089

webvpn でのメモリ リーク

CSCvi64007

フェールオーバー後のゼロ化 RSA キーにより REST API がシステム コンテキストへの変更に失敗する

CSCvi66291

ASAが TCP 代行受信出力の 100% レートをはるかに超えている

CSCvi66905

PIM 自動 RP パケットがクラスタ マスターのスイッチオーバー後にドロップされる

CSCvi68495

スタンバイ ASA が NTP サーバに NTP パケットを送信していない

CSCvi70606

ASA 9.6(4):WebVPN ページが正しくロードされていない

CSCvi76577

ASA:netsnmp:Snmpwalk がホストグループの一部の IP グループで失敗する。

CSCvi77352

デバイスがそれ自体をクラスタから削除すると不正な更新が実行される

CSCvi80849

Cisco Firepower 2100 シリーズ POODLE TLS セキュリティスキャナのアラート

CSCvi81436

ASA ロットの「PPPoE daemon not configured」メッセージがコンソールに出力される

CSCvi82779

ASA が DATAPATH スレッドでトレースバックを生成する

CSCvi86799

多数のインターフェイスと QoS により「show service-policy」の出力時に ASA がトレースバックする

CSCvi87921

FIPS モードの TLS では、ASA 自己署名 RSA 証明書が許可されない

CSCvi89194

pki ハンドル:増加し、減少しない

CSCvi95544

ASA が「any」キーワードが設定されている ACL で IPv6 トラフィックを正しく照合しない

CSCvi97776

show tech からの show environment 出力が不完全

CSCvj22929

証明書チェーンの設定を再適用すると、ローカル CA TP のステータスが「Not Authenticated」と表示される

CSCvj25817

ASA は MOBIKE に応答するが、DPD が原因で SA をクリアする。

CSCvj26450

ASA PKI OCSP 障害:CRYPTO_PKI:OCSP 応答データの復号化に失敗した

CSCvj39858

トレースバック:スレッド名:IPsec message handler

CSCvj43591

ASA DHCP を使用した Firepower 2110 が正常に動作しない

CSCvj46777

FPR 2100 ASA の原因不明のトレースバック

CSCvj48542

TrustSec SXP 削除 ホールド ダウン タイマーの値を設定する必要がある

CSCvj56008

ScanSafe 機能が HTTPS トラフィックに対してまったく機能しない

バージョン 9.8(2) で解決済みのバグ

次の表に、このリリース ノートの発行時点で解決済みのバグを示します。

警告 ID 番号

説明

CSCse02836

ASDM:ACE に 1 つのポートがある場合でも、送信元ポートが表示されない

CSCto19051

ASA/FTD lina Heimdal Kerberos コードの脆弱性を解決する

CSCto19832

OpenLDAP をアップグレードするか、またはASA/FTD lina プロセスでパッチを適用する必要がある

CSCuj69650

ASA が「logging permit-hostdown」を使用して新しい接続をブロックし、TCP syslog がダウンしている

CSCuu90811

GCM 暗号が使用されていると TLS CTP が TLSv 1.2 で機能しない

CSCuv63875

show ospf コマンドを実行中にスレッド名 ci/console で ASA がトレースバックする

CSCuw37752

FTP データ接続のスケーリングがダイナミック PAT で失敗する

CSCuz22961

スプリット DNS 値の 255 文字を超えてサポートする

CSCuz52474

2016 年 5 月の OpenSSL の pix-asa の評価

CSCuz72137

有効な ARP エントリが利用可能であっても、ASA が「novalid adjacency」でパケットをドロップする

CSCuz77293

クラスタ スレーブに OSPF マルチキャスト フィルタ ルールがない

CSCva69652

NGFW CLI の「'show tech-support」に SNORT データがない

CSCva92997

snp_fp_qos での 9.7.1 のトレースバック

CSCvb40875

Threat Defense を実行している ASA 5500-x および 2100 デバイスでデフォルトの検査ステートメントが欠落している

CSCvb75685

「no vpnclient enable」の入力後、EZVPN NEM クライアントが再接続できない

CSCvb91810

ASA:異なるインターフェイスにより明確なルートが存在する場合にインターフェイスベースのルートルックアップが適切でない

CSCvb93926

ENH:ASDM AnyConnect IKEv2 ウィザードから DES と3DES を削除する

CSCvc07112

スケジューラ破損の問題に対する検出と自動修正の機能を実装する

CSCvc27704

TCP が syslog のトランスポート プロトコルとして使用されるとログが失われる

CSCvc56526

CEP レコードの編集ページのロードに時間がかかる

CSCvc72860

ASA が長時間起動した後にフラッシュが読み取り専用になる問題をトラブルシューティングするためのデバッグを実装する。

CSCvc76146

981 VTI:状態変更後の BGP ネイバー形成が遅い

CSCvc82150

PSB 要件 SEC-HTP-HSTS.x4i:HTTP Strict-Transport-Security ヘッダー

CSCvc82270

ASA 1550 ブロックの段階的な枯渇

CSCvc83462

WebVPN を介して gzip 圧縮が機能しない

CSCvc85369

ASA が IPv6 MLD クエリに応答しない

CSCvc96614

ASA:単一のコマンド内に 9 個を超えるプロポーザルが設定されていると IKEv2 ipsec-proposal コマンドが削除される

CSCvd00293

VTI:一部のセッションが vpn-sessiondb からクリアされない

CSCvd01101

TCP プロトコルを使用した syslog ロギング メッセージの実行が遅い

CSCvd01130

IP フォンが VPN トンネルの背後にあると ASA TCP SIP インスペクションの変換が機能しない

CSCvd03718

マルチコンテキスト モードでのインターフェイス設定中のエラー

CSCvd05267

ループを使用した running-config へのコピーが理由を示さずにボックスをリロードする

CSCvd17581

ASA IKEv1:INVALID_ID_INFO Notify にゼロ以外の SPI を設定する

CSCvd20013

EZVPN クライアントでの「Thread Name: IPsec message handler」でのトレースバック

CSCvd25094

インターフェイス変更時のトレースバック。Interface_action でのアサート

CSCvd26699

ASA が誤って syslog ID 201011 をトリガーする

CSCvd28780

インターフェイス設定と NAT をクリアするとクラッシュする

CSCvd35811

スレッド名 DATAPATH でのトレースバック

CSCvd36992

EtherChannel:無効になっているインターフェイス上の古いネイバーの SYSTEM ID が 5585-60 LACP の状態に表示される

CSCvd37850

9.6.2 DHCPRA:最大リレー バインディング数(500)を超過した

CSCvd43471

仮想トンネル インターフェイスを通じて暗号化されたパケットに送信元 MAC 0000.0000.0000 がある

CSCvd46434

コマンド「debug menu ike-common 11」を入力した後に ASA がクラッシュする

CSCvd49262

ジャイアント オブジェクト グループ(display_hole_og)を使用してアクセスリストを保存/表示しようとするとトレースバックする

CSCvd49550

9.5.1 以上の ASAで managment0/0 を src-ip として使用すると SXP ソケットを表示しない

CSCvd50107

リマーク表示中に実行中の「show access-list」のスレッド名 idfw_proc で ASA がトレースバックする

CSCvd53381

設定を保存/表示すると時間範囲の ACL により ASA がトレースバックする

CSCvd55115

クラスタ内の ASA によりマスターとスレーブ間のユーザ グループ マッピングが適切でなくなる

CSCvd58094

PBR が設定されている場合に ARP スレッドで ASA がトレースバックする

CSCvd58321

Web フォルダのファイルブラウザ アプレット コードの署名証明書に期限が切れている

CSCvd66303

ESXi vCenter 6.5 での ASAv の導入中に発生したエラー

CSCvd69551

時刻を指定して再アクティブ化モードが設定されているセカンダリ LDAP サーバへの接続にASA が失敗する

CSCvd71473

ASA:多くの DNS クエリを使用するとメモリ リークが遅くなる

CSCvd75631

Threat Defense DHCP クライアントが拒否ではなく DHCP アドレスを要求しようとする

CSCvd76791

SRIOV/IXGBE-VF ではサブインターフェイスがサポートされていない

CSCvd76821

tcp-options md5 allow が tcp-options md5 clear としてスレーブ ユニットにプッシュされる

CSCvd76939

ASA ポリシーマップ設定がクラスタのスレーブに複製されない

CSCvd77893

アクセスグループの変更中に ASA がアサートのトレースバックを生成することがある

CSCvd78444

WebVPN プロセスの設定によるトレースバック

CSCvd79797

DNS サーバがサイト間 IPSec トンネルを通じて DNS サーバに到達可能な場合に ASA ローカル DNS 解決が失敗する

CSCvd79863

ECMP を持つ FTD OSPF で、既存の接続に対してダウン状態のピアにパケットが送信される

CSCvd80721

セキュリティ コンテキストで SNMP イベント トラップを生成できない

CSCvd82064

Cisco 適応型セキュリティ アプライアンスにおける認証済みクロスサイト スクリプティングの脆弱性

CSCvd82265

ASAv5 の rest-agent に割り当てられるメモリを増やす

CSCvd87211

設定されたキャプチャを削除しようとすると ASA がトレースバックする

CSCvd87647

9.1.5 から 9.4.3 へのアップグレード実行中にスレッド名 fover_parse で ASA がトレースバックする

CSCvd89003

SIP インスペクションによりデータパスで ASA のトレースバックが確認される

CSCvd89925

フェールオーバー ペアのスタンバイ ユニットがアクティブに切り替えられない

CSCvd90071

1 GB よりも大きなメモリを使用した ASAv5 の動作が許可されている

CSCvd90079

ASAv5:DMA パケット メモリを 64 MB に低減する

CSCvd90096

WebVPN が IE に IE8 モードを使用するように強制する

CSCvd92196

ASA981 Beta:asp load-balance の出力が show run と show run all に一致しない

CSCvd92423

ユニコーン プロキシ スレッドでの ASA のトレースバック

CSCvd92489

モード転送を使用したトランスフォームセットがダイナミックマップの 11 番目の場合に L2TP/IPsec が失敗する

CSCvd96108

LAN 間 VPN によりスレッド名 DATAPATH でトレースバックする

CSCvd97249

FTD:連続的な SSL トラフィックと復号化最初名が有効になっている状態でブロックが枯渇する

CSCvd97568

フェールオーバーの同期時に FTD のトレースバックが確認される。

CSCvd97780

ASA/FTD がパケット キャプチャの「trace」出力に誤った結果を表示する

CSCvd99476

内部ブックマーク サイトのインタラクティブ アイコンが正しく表示されない(+CSCO+0undefined)

CSCvd99859

ASA がタイプ TXT の追加 RR のみを含む DNS 応答をドロップすることがある

CSCvd99945

顧客が AnyConnect に認証されると ASA がトレースバックする

CSCve00395

ISA 3000:show tech に show inventory を含める必要がある

CSCve02469

BGP のルート集約(auto-summary)とルート アドバタイズメントでの ASA の問題

CSCve02854

SFR バックプレーンが ASA 内部アドレスではなく、ポリシー照合のためのパブリック アドレスをプルしている

CSCve03387

SSH NLP NAT のプロキシ ARP 情報がフェールオーバー時に FTD で更新されない

CSCve03974

FirePOWER サービスを搭載した ASA モジュールがトレースバックとリロードを生成する

CSCve04326

出力インターフェイスがダウンしているときのトラフィックの転送にブラックホールではなく CCL を使用する必要がある

CSCve04443

ASAv Azure:ASAv30 で 750 の VPN セションが許可されている

CSCve05841

クラスタに参加し、スレーブとしてアクティブな間に ASA がリロードした

CSCve06436

ヒットレス アップグレード時に異なるマイナー バージョン間でルートが正常に同期されない

CSCve07856

CSCvd41423 の後の不正な KU により CRL の確認が失敗する

CSCve08898

トレースによるキャプチャとキャプチャのクリアによるメモリ リーク

CSCve08947

マルチコンテキストで、インターフェイス PAT を使用している場合に特定のポートから送信されたトラフィックを ASA がドロップする

CSCve09249

ASA:アクティブ FTP が NAT の拡張キーワードでは動作しない

CSCve12654

CSM を使用したロールバック機能をサポートする ASA のクラスタリング

CSCve13410

ルート上での設定の追跡により、ASA のアップグレードが有効な隣接関係なしになる

CSCve15873

ASA:マルチキャスト パケットがコード 9.6.3 以降ドロップされる

CSCve18293

データパス内で ASA のトレースバックが確認される

CSCve18880

クライアントレス ポータルに証明書マップが使用されている場合にユーザ名が証明書から取得されない

CSCve19179

Cisco 適応型セキュリティ アプライアンスの WebVPN クロスサイト スクリプティングの脆弱性

CSCve20346

アップグレード後に ASA SNI 接続が失敗する:共有暗号なし

CSCve20438

9.6.3.1 で「activate-tunnel-group-scripts」が使用できない

CSCve20980

CSCOGet_origin ラッパーがロケーション オブジェクトに属している場合は「origin」プロパティを処理しない

CSCve21824

「hostscan data-limit」サービス内コマンドを公開し、文書化する必要がある

CSCve23033

ICMP 到達不能(PMTU)がドロップされ、「Routing failed to locate next hop」が表示される

CSCve23091

ルートがないために自動 RP パケットがドロップされる:ホストへのルートなし

CSCve23155

FXOS シャーシ上の ASA アプリケーションで BTF が停止するが、スマート ライセンスにはこの機能が有効であると表示される

CSCve23784

アクセスリスト設定の表示時または実行コンフィギュレーションの保存時に ASA がトレースバックすることがある

CSCve24088

スマート ライセンスの ID 証明書の更新の失敗で製品インスタンスの登録が解除されてはならない

CSCve26349

ASDM がオブジェクトの説明を表示しない

CSCve28027

ASA 上の CUCI Lync バージョン 11.6.3 でコールが動作しない

CSCve28639

フェールオーバーは有効になっているが他のデバイスが到達不能の場合に AnyConnect の証明書認証と定期証明書認証が失敗する

CSCve29989

ASA:PAT プール ソケットの割り当て時に DATAPATH でトレースバックする

CSCve31809

ASA が l2tp クライアントからのリターン トラフィックの宛先 Mac アドレスを破損させる

CSCve31880

まれに network_udpmod_get が shr_lock を解放しない

CSCve34335

SSL レコード長の確認が remove pad length 関数にない

CSCve34729

FIPS モードが有効な状態で ASA がリロードした後に ASA インターフェイスがトラフィックの受け渡しを停止することがある

CSCve35799

設定時の CPU Hog CI_CONSOLE でのトレースバック

CSCve37948

UDP/4500 を使用した OSPF over IPSec を介して学習したルートを ASA がインストールしない

CSCve42460

リロード時に「NSF IETF/CISCO」コマンドが削除される

CSCve42583

ASA:FW を通過するための IPv6 プロトコル X ルールが無効な IP 長メッセージを持つパケットをドロップしている

CSCve43146

ASA の 9.5(3) 以降のすべてのバージョンで、ASDM 上での AnyConnect の新規カスタマイズの作成が失敗する。

CSCve44561

SFR リダイレクションが有効になっている場合に、ICMP 到達不能タイプ 3 コード 4 を ASA が誤った方向に送信する

CSCve46883

FTD 診断インターフェイスが br1 管理サブネットの ARP をプロキシする

CSCve47393

最大シーケンス番号を持つ OSPF の不正 LSA の脆弱性

CSCve48105

スレーブが稼働している間、マスターのインターフェイス ステータスを「init」と報告する

CSCve49968

クラスタ内のカット スルー プロキシに取得したダウンロード可能な ACL がスレーブ上でダイナミックとしてマークされない

CSCve50118

ASA のメモリ リーク:RSA ツールキット

CSCve53582

ASA への SSH 接続が SLA モニタリングと非ゼロのフローティング接続のタイムアウトで失敗する

CSCve53783

「service resetoutside」がすべてのインターフェイス上の to-the-device トラフィックに影響を与え、スタンバイ時に異なる動作をする

CSCve55694

サービス オブジェクトで範囲を設定すると、ASDM が「service tcp destination eq-1」としてサービスを設定する

CSCve56153

AWS の ASAv:バイナリを 9.8.1 にアップグレードすると ASAv に到達できない

CSCve57150

VPN VLAN のマッピングの問題

CSCve57548

ASA:crypto_SSL 関数のスレッド名 Datapath でトレースバックする

CSCve58709

ASA 9.5.1 以降、管理インターフェイスではなく、トラフィックが誤ってルーティングされる

CSCve60829

ASA クラスタ:PAT プールを使用したクラスタ リンクで UDP がループする可能性がある

CSCve61284

TCP syslog サーバのダウン時に偽の IP データで ASA ログ メッセージ 414003 が生成されることがある

CSCve62358

PBR のネクストホップがインターフェイス アドレスの場合に ASA 2048 ブロックが枯渇する

CSCve63762

ASASM:インターフェイス VLAN がリロード後に admin down になる

CSCve64342

[Dynamic Access Policies] ページが凍結されており、HS イメージのアンインストール後はアクセスできない

CSCve66939

AWS で ASA のアップグレード オプションとして 9.8.1 が提供されない

CSCve69985

ASDM でトランスペアレント モードのインターフェイスごとに複数のスタティック MAC アドレス テーブル エントリを使用できない

CSCve71661

FTD:マルチキャストと BPDU トラフィックが dst-l2_lookup-fail でドロップされる

CSCve71712

webvpn-l7-rewriter:WebVPN ポータルを介した Jira 7.3.0 のログインページが完全に表示されない

CSCve72155

syslog サーバが VPN トンネルを介して到達可能な場合にロケーション「snp_fp_encrypt」でメモリ リークが発生する

CSCve72201

ASA WebVPN リライターの問題。クライアントレス VPN を介して Web サイトのタブを参照できない

CSCve72227

ASA5506/5508/5516 で IPSec が起動せず、1,000 を超える IPSec SA カウントでフラップする

CSCve72433

ダイナミック ルーティング プロトコルのルート マップで使用されるプレフィックスリストの削除を要求する ASDM エラー

CSCve73556

websns_rcv_tcp で ASA がトレースバックする

CSCve75132

フロー ブロック イベントの起動でイニシエータのバイト数が正しくない

CSCve76799

ENH:KVM AHV Nutanix にインストールされると ASAv がブート アップできない

CSCve76967

ASDM Where Used オプションで結果が表示されない

CSCve77440

WebVPN によるユニコーン プロキシ スレッドでのトレースバック

CSCve78986

ASA/9.6.3//WebVPN スマート トンネルは機能するが、イベント ビューアを使用して Windows をフラッディングする

CSCve85698

ASA WebVPN リライター:WebVPN ブックマークの scholar.google.com が正しく記述されていない

CSCve87984

ネットワーク接続が 19 を超えるコンテキストに対して有効にならない

CSCve90305

9.7 以降のコードでマスターになるとシャーシがリロードされた後、ASA でコンテキストが欠落する

CSCve91223

インターフェイス IP と宛先が重複するとスタンバイ ASA が NAT を拒否し、アクティブがこれを許可する

CSCve92587

9.8(1) への ASA フラッシュ ポストのアップグレードに SCP を介して AnyConnect イメージをコピーできない

CSCve93019

ダイナミック サイト間トンネルに関連付けられた暗号マップを編集すると ASDM がハングする

CSCve94828

SP2013 では MS Office アプリを使用して新しいドキュメントを作成/編集できない

CSCve94886

NAT ルールの変更時とパケット キャプチャが有効になっているときの ASA with Firepower Services でトレースバックが発生する

CSCve95969

フラッシュ仮想化機能を最大 250 コンテキストまで拡張できない

CSCve97831

ドメインルックアップが有効な場合に CDA エージェントが「プロービング」でスタックする

CSCve97844

3 回目のフェールオーバー後に ASA OSPF インターフェイスが DOWN の状態(NSF を待機中)でスタックする

CSCve99752

ASDM AC ダウンロードで 2 番目のパスワードを編集しても、ASA 9.8.1 以降ではその変更が無視される

CSCvf01873

HTTP 引数フィールドが正規表現に対応していない

CSCvf03676

SNMP 設定追加後に ASA でポートが予約されていない

CSCvf07075

ASA:暗号アクセラレータがループでトレースバックする

CSCvf08411

TLS 1.2 の暗号セキュリティ レベルが「medium」の場合、ASDM が暗号アルゴリズムを正しく表示しない

CSCvf11695

トレースバック:フローエクスポート アクションでのホスト エントリの重複によりポリシー展開後にクラッシュする

CSCvf14391

AnyConnect プールから送信されたマルチキャスト トラフィックがチェック済みのリバース パスによりドロップされる

CSCvf16142

ASA-5-720012:(VPN - セカンダリ)ASA クラスタ環境で IPSec フェールオーバー ランタイム データを更新できない

CSCvf16429

IKEv2 リモート アクセス クライアントのセッションが削除状態でスタックする

CSCvf16808

アクティブ ユニットに SSH 接続できない//TCP 接続の上限を超えている

CSCvf17222

SAML 2.0 || (5525) 9.7.1 ASA:ASA コンパイラが SAML 認証のサインイン URL を取得していない

CSCvf17850

SSH/SNMP が「clear conf int」を付与した後、トランスペアレント モードで動作しない

CSCvf19938

ASAv:Hyper-V Windows Server 2012-R2 にインストールした場合の 9.7.1.4 と 9.8.1 へのアップグレードの問題

CSCvf21556

ASA:SNMP ホスト グループがマルチコンテキスト設定の必要に応じて動作していない

CSCvf24063

DATAPATH - snp_vpn_process_natt_pkt で ASA5585 が トレースバックする

CSCvf24387

PKCS12s で ASA にインポートされる EC 証明書が SSL に使用できない

CSCvf31539

DCD が有効になっている場合に ASA 接続がアイドル状態でスタックする

CSCvf35263

Port Manager デバッグ ファイルの portmgr.out に不完全なタイムスタンプが含まれている

CSCvf38655

バージョンアップ後に ASA が fover_parse でクラッシュする

CSCvf39608

Azure-HA:「clear configure failover」がピア IP アドレスをクリアせず、ASAv をクラッシュさせる場合がある

CSCvf41547

ウォッチドッグ プロセスでのトレースバック

CSCvf44142

ASA 9.x:DNS インスペクションによって PTR クエリに「0」が追加される

CSCvf44950

iOS および OS X IKEv2 のネイティブ クライアントが EAP-TLS を使用して ASA に接続できない

CSCvf48785

回帰の実行中にクラスタ インターフェイス上で「[no] nameif」コマンドを使用して ASA がクラッシュする

CSCvf54081

TLS バージョン 1.1 の接続に失敗し、t1_lib.c:3106 に共有署名アルゴリズムなし

バージョン 9.8(1.200) で解決済みのバグ

このリリースのどのバグも解決されていません。

バージョン 9.8(1) で解決済みのバグ

次の表に、このリリース ノートの発行時点で解決済みのバグを示します。

警告 ID 番号

説明

CSCuj69650

ASA が「logging permit-hostdown」を使用して新しい接続をブロックし、TCP syslog がダウンしている

CSCum28756

ASA:ユニットがクラスタに再参加した後の SNMPv3 ポーリングの認証失敗

CSCuq80704

ASA が TCP パケットを PAWS 障害として誤って分類する

CSCut07712

ASA:ASP テーブルのルーティングに int. がないため、ボックス トラフィックが中断する

CSCuu50708

9.1.5.19 での ASA トレースバック

CSCuv61791

ASA での CWS リダイレクションにより HTTPS トラフィックのシーケンス番号が破損することがある

CSCuv86562

トレースバック:スレッド名 fover_health_monitoring_thread で ASA がクラッシュする

CSCuw71147

http_header_by_name のユニコーン プロキシ スレッドでのトレースバック

CSCuw88759

ASA:インターフェイスを接続していない状態でプロトコルとステータスが表示される

CSCuw95262

しばらくしてからフラッシュ操作が失敗し、設定を保存できない

CSCuy22155

マルチキャスト ルーティングが無効な状態で ASA が予期しない syslog メッセージを生成する

CSCuy43438

クライアントからの接続解除後に IPSec を介して L2TP を接続できない

CSCuy55468

ユニコーン プロキシ スレッドにより CP 競合が発生する

CSCuy60793

フェールオーバー後にリンクローカル アドレスの重複が確認される

CSCuy89288

AnyConnect DTLS オンデマンド DPD が断続的に送信されない

CSCuz77293

クラスタ スレーブに OSPF マルチキャスト フィルタ ルールがない

CSCva10054

SCTP インスペクションによりデータパスで ASA ASSERT がトレースバックする

CSCva22048

ASA:複数のコールで同じメディア ポートが使用されていると PAT を使用した SIP コールがドロップされる

CSCva32092

OSPFv3/IPv6 フラッピング (ASA クラスタと4500の間の30分ごと)

CSCva35990

H323 インスペクションを使用した CP プロセスでのトレースバック、rip h323_service_early_msg

CSCva39094

MPF 変更中の CLI スレッドでの ASA トレースバック

CSCva43992

IKEv2 RA 証明書認証。新しいセッションを割り当てることができない。最大セッション数に到達した

CSCva69346

NAT が一致したときに ASA から DHCP 検出パケットをリレーできない

CSCva70095

サーバが tls-proxy にある場合に ASA が TLS1.2 をネゴシエートする

CSCva70979

ポートチャネル インターフェイスでフェールオーバー記述子が更新されない

CSCva71783

応答パケットへの応答で ICMP エラー パケットがドロップされる

CSCva76568

ASA:IKEv1/IKEv2 を有効にすると RADIUS ポートが開く

CSCva81412

ASR9000 BGP グレースフル リスタートが予期したとおりに動作しない

CSCva88796

AnyConnect セッションが L2TP Uauth セッションのスタックにより接続できない

CSCva92813

ASA クラスタ DHCP リレーがサーバ応答をクライアントに転送しない

CSCva92975

トレースバックでクラスタから ASA 5585-60 がドロップされている

CSCva94702

DP-CP キューでのエンキュー障害が検査された TCP 接続を失速させることがある

CSCva98240

SIP:ルートからのアドレス:ヘッダーが正しく変換されない

CSCvb05667

H.323 インスペクションによりスレッド名 CP Processing でトレースバックが発生する

CSCvb08776

内部 ATA Compact Flash サイズが「show version」に正しく表示されない

CSCvb15265

スレッド名 DATAPATH での ASA ページ障害のトレースバック

CSCvb22435

DCERPC インスペクションによるスレッド名 CP Processing での ASA トレースバック

CSCvb22848

スレッド名 NIC status poll での ASA 9.1.7-9 のクラッシュ

CSCvb25139

DNS インスペクションが有効になっている場合に IPv6 DNS パケットの形式が不正になる

CSCvb26119

WebVPN リライターが matterport.com で失敗する

CSCvb29688

CSCup37416 に対する修正にもかかわらず、古い VPN コンテキスト エントリにより ASA がトラフィックの暗号化を停止する

CSCvb30445

ポリシーベースのルーティングが有効な状態で ASA が DATAPATH トレースバックを生成することがある

CSCvb31055

ASA のマルチコンテキスト SNMP PAT インターフェイスが欠落している

CSCvb33009

Cisco ASA 署名検証によりブート時にデジタル署名テキストを誤って解釈する

CSCvb33013

Cisco ASA の削除により SB 以外のハードウェアでセキュアなブート コマンドを誤って解釈する

CSCvb38522

ASA PKI OCSP 障害:CRYPTO_PKI:OCSP 応答データの復号化に失敗した

CSCvb39147

Cisco ASA プラットフォームで NFS スループット レートが低下する

CSCvb40818

NLP 情報が IPv6 のコマンドに表示される

CSCvb40847

ユーザが手動でログアウトした場合に ASA が認証セッション終了ログを送信しない

CSCvb41097

GTPv2 がインスタンス 1 のハンドオフをドロップしている

CSCvb43120

Checkheaps スレッドでの ASA トレースバック

CSCvb45039

スレッド名 aaa_shim_thread での ASA トレースバック

CSCvb46321

Cisco ASA ソフトウェアと Cisco FTD ソフトウェアの TCP の正規化におけるサービス攻撃に対する脆弱性

CSCvb47006

自動更新スレッドで ASA トレースバックが確認された

CSCvb48640

2016 年 9 月の Openssl の pix-asa の評価

CSCvb49264

v2 ハンドオフのコールフロー後に Delete Bearer Req が 2 番目のデフォルト ベアラーを削除できない

CSCvb49273

ISE への送受信の際に ASA 上の CoA によりトレースバックがトリガーされる

CSCvb49445

IKEv2:クライアントからの接続後に セッションがクリアされない

CSCvb50301

スレッド名 rtcli での ASA のトレースバック

CSCvb50609

RADIUS 認可要求が着信側ステーション ID の属性を送信しない

CSCvb50750

SIP トラフィックによるフェールオーバー時の lina コア

CSCvb52157

viewer_dart.js ファイルが正しくロードされない

CSCvb52381

マスター変更後に OSPF が継続的にフラップする(L2 クラスタ、マルチコンテキスト)

CSCvb52492

OSPF ルートの問題によりフェールオーバー後に VPN トンネルが失われる

CSCvb52988

スレッド名 emweb/https での ASA トレースバック

CSCvb53094

ASA:マルチコンテキスト ファイアウォールの使用済みメモリの計算に相違がある

CSCvb55721

サイト IP アドレスを使用したマルチサイト クラスタで ASA により GARP フラッドが実行される

CSCvb57817

EIGRP:帯域幅を拡張したときに多数のエラー処理を追加する必要がある

CSCvb58087

オブジェクトグループ検索の冗長サービス グループ オブジェクトが誤って削除される

CSCvb61056

L2TP を介して 9.6.2 TCP 接続が機能しない

CSCvb63503

時間範囲により拒否された場合の IKEv2 での AAA セッション ハンドルのリーク

CSCvb63819

OS 9.1.6 から 9.4.3 へのアップグレード時の スレッド fover_parse での ASA-SM のトレースバック

CSCvb64161

ASA によるクライアントのマルチキャスト パケットの宛先 MAC アドレスの書き換え頻度がかなり低い

CSCvb66593

URL での webvpn_state クッキー情報の開示

CSCvb68766

スレッド名 IKE Daemon での ASA のトレースバック。

CSCvb74084

SCP が 962で失敗する

CSCvb74249

マルチコンテキスト モードで設定された TCP syslog を使用して ASA がトラフィックをドロップしている

CSCvb75266

ASA:パケット トレーサ ツールの XML 出力に ACL の注釈が正しく表示されない

CSCvb75685

「no vpnclient enable」の入力後、EZVPN NEM クライアントが再接続できない

CSCvb78614

4GE-SSM RJ45 インターフェイスがインターフェイスの「rate limit drops」によりトラフィックをドロップすることがある

CSCvb83446

v1 PDP が IE 障害の解析時に削除されることがある

CSCvb88126

ASA:CSCuu48197 に対する修正にもかかわらず stuck uauth エントリが AnyConnect 接続を拒否する

CSCvb88358

webvpn-l7 リライター:5515 9.1.6 コンテンツ書き換えの問題(ASA Web ブックマークの場合)

CSCvb89988

WebVPN:内部ページのログイン ボタンがリライター経由で機能しない

CSCvb90108

フェールオーバー レプリケーション レート制限の上限が矛盾している

CSCvb92125

書き換え時にラベル長を超えたため ASA が DNS PTR リレーをドロップする

CSCvb92417

クラスタ ASA は「inspect-icmp-seq-num-not-matched」という理由で to-the-box ICMP 応答をドロップする

CSCvb92548

ASA が誤った ACL と有効状態のオブジェクトグループ検索を照合する

CSCvb92823

NOTIFY に埋め込まれている場合に ASA SIP インスペクションによる 200 OK の送信が遅延することがある

CSCvb99424

ASA IKEv2 RA VPN が「No License」ステータスを AnyConnect ユーザに明確には通知しない

CSCvc00015

ASA クラスタの仮想 IP で SNMP ポーリングが実行されると誤った動作になる

CSCvc00689

ASA:IKEv2 によるメモリ リーク

CSCvc00760

RDP プラグイン接続がエラーで失敗した

CSCvc01685

PLR:ASAv が無効な予約コードを生成する

CSCvc04741

ASA DHCP リレーに代行受信 DHCP 機能との互換性がない

CSCvc05005

ASA クラスタの TCP/SSL ポートが LISTEN 状態に表示されない

CSCvc06150

ASA が証明書マップに複数の属性エントリを追加できない

CSCvc07112

スケジューラ破損の問題に対する検出と自動修正の機能を実装する

CSCvc07330

WebVPN 実行中に ASAv がクラッシュすることがある

CSCvc11628

事前入力機能が二重証明書(cert 2-user)に対して誤った証明書(cert 1-machine)からユーザ名を抽出する

CSCvc14190

EC に負荷がかかっている状態で ASA が SSL VPN セッションの確立に失敗する

CSCvc14448

9.6.2:AnyConnect IKEv2 パフォーマンス テスト時のトレースバック

CSCvc14502

ASA マルチコンテキストで到達不能な TCP syslog と logging permit-hostdown のセットへの新しい接続が許可されない

CSCvc16330

ASA-SM 9.5.2 inspect-sctp ライセンスが既存の導入を中断する

CSCvc19318

スレッド名 sch_syslog での ASA のトレースバック

CSCvc22193

DSCP マーキングが IPSec カプセル化を使用した外部 IP ヘッダーにコピーされない

CSCvc23838

WebVPN CIFS での Cisco ASA ヒープのオーバーフロー

CSCvc24657

MIB オブジェクト cempMemPoolHCUsed が表示されなくなる

CSCvc24788

ASA:OspfV3 ルートがインストールされない

CSCvc25195

AnyConnect が表示されると ASA ポータルが複数コンテキストが設定されていることを公開する

CSCvc25281

クラスタ ユニットのリブート後に SNMPv3 ユーザの同期がエラーになる

CSCvc25409

SNMP ポーリングの使用時の CloneOctetString での ASA のメモリ リーク

CSCvc33796

ACL と NAT テーブルのコンパイルの速度向上の実装

CSCvc36805

Firepower Threat Defense(FTD)IKEv2 NAT-T が再起動後に無効になる

CSCvc37557

クライアントレス WebVPN の ASA とバックエンド サーバ間で SSL 接続がハングする

CSCvc38425

FirePOWER モジュールを搭載した ASA がトレースバックを生成してリロードするか、プロセスが実行しなくなる原因となる

CSCvc39121

ASA がマルチコンテキスト モードの場合に外部 DHCP サーバを使用した AnyConnect アドレスの割り当てが失敗する

CSCvc44240

ASA クラスタリング:9.6.2 の SPAN が設定されたポートチャネル インターフェイスで MAC アドレス コマンドが無視される

CSCvc46502

フラグメント化されたトラフィックでの FTD クラスタの 9K ブロックの枯渇

CSCvc48640

forward-reference enable が設定されている場合に ASA がアクセスリストを動的に更新しない

CSCvc52072

デフォルトの WebVPN グループにランディングする接続について WebVPN ポータルが正しく表示されない

CSCvc52272

ASA インスペクション MPF の ACL の変更が正しい順序で ASP テーブルに表示されない

CSCvc52504

ASA がスレッド名 Unicorn Admin Handler でトレースバックすることがある

CSCvc52879

アクティブ/スタンバイ ASA フェールオーバー ペアでアクティブ ユニットをリロードしてもフェールオーバーをトリガーしない。

CSCvc55674

ASA:IPSec SA の起動に失敗した

CSCvc55974

L2L セットアップで IKEv2 ハンドルがリークする

CSCvc58272

ASA が誤ってラッパーの負の数値を処理し、結果としてグラフィカル WebVPN の問題が発生する

CSCvc60254

SIP:複数のセグメントを持つ 200 OK メッセージが正しく再構築されない

CSCvc60964

ASA L3 クラスタ:非対称ルーティングの場合に DHCP リレーが DHCPOFFER をドロップする

CSCvc61818

失敗した試行後の CTP がユーザ名とともにドメインを送信する

CSCvc61845

RDP プラグインの activex 全画面オプションが ASA 9.6.2 バージョンでは使用できない

CSCvc62252

到達可能性がダウンしている間にトラッキング ルートが起動しない

CSCvc62556

ASA クラスタ スレッド名 qos_metric_daemonでのトレースバック

CSCvc65409

クラスタの gtpv2_process_msg でトレースバックが確認された

CSCvc68229

BGP の BFD サポート コードが tcp/udp 3784 と 3785 を開いてアクセスリストをバイパスする

CSCvc77123

AnyConnect IPv6 DTLS ストレス シナリオとの network_tcpmod_close_conn で ASA がトレースバックすることがある

CSCvc79077

rest-api が有効になっている状態のクラスタ設定の同期時の ASA ウォッチドッグのトレースバック

CSCvc79371

ASA NAT プールが正しく更新されない

CSCvc79454

スクリプト ユーザに SSH パブリック認証を設定できない

CSCvc79569

mac address auto コマンが ASA5585-X でデフォルトのプレフィックス 1 を使用する

CSCvc82146

スレッド名 Datapath での ASA のトレースバック

CSCvc85369

ASA が IPv6 MLD クエリに応答しない

CSCvc86554

トレースバック:ASA 9.5(2)11 クラッシュ アクティブ

CSCvc87914

設定の同期の失敗時の ASA のトレースバックとリロード

CSCvc88115

ASA クラスタリング IDFW がユーザ マッピングを更新しない

CSCvc88411

RADIUS アカウンティング パケットによる 1550 バイト ブロックの枯渇が確認される

CSCvc91266

RPF が最初に有効になる場合に ASA BFD echo 関数が失敗する

CSCvc92982

設定された自動 NAT を FMC から削除できない

CSCvc93947

ASA(9.1.7.12):スタンバイ ASA を介してマルチキャスト ストリーム用に作成された接続エントリ。

CSCvc97734

ポートチャネル インターフェイスで management-only が有効になっていると展開が失敗する

CSCvd01736

DHCP を使用すると L2TP が接続されないことがある

CSCvd03261

ASAv が応答しなくなる/VPN が再起動後に機能しない

CSCvd03343

非システム コンテキストの SSH 公開キー認証を設定できない

CSCvd06527

SNMPv3 リンクアップ/リンクダウンが管理コンテキストを介して生成される必要がある

CSCvd08200

ASA での低速なメモリ リーク

CSCvd08479

ACL の最後のヒットカウント カウンタに誤った時刻が表示される

CSCvd08709

非対称の path icmp トラフィックが分散クラスタリングで失敗する

CSCvd08983

TACACS 認証と設定済みの「password-policy lifetime」を使用した ASA がアクセスを拒否する

CSCvd09066

asav-aws:AWS で過剰なコンソール出力によりリロード CLI が失敗する

CSCvd18126

スレッド名 DATAPATH での ASA のトレースバック

CSCvd20818

ASA IKEv1:トランスフォーム ペイロードでは常に NAT-T カプセル化モードが許可される

CSCvd21154

5585 がクラスタを離れた後の 30 秒間にデータ インターフェイスのバンドルを解除しない

CSCvd21541

ASA 944 のサービス オブジェクト グループで作成されると、ポート オブジェクトを削除できない

CSCvd21665

RRI および OSPF を搭載した ASA:ASP ルーティング テーブルからルートをフラッシュできない

CSCvd23016

TFTP を使用してキャプチャをコピーすると ASA がトレースバックすることがある

CSCvd23471

ブートアップ時に大型のコンテキスト設定をロードしている間に ASA がトレースバックすることがある

CSCvd24066

IM インスペクションが有効になっていると、ASA が Web トラフィックをドロップする。

CSCvd26939

SNMP が Firepower Threat Defense のすべての管理対象デバイスに同じホスト名をリストする

CSCvd28859

ASA:ICMP トラフィックの PBR メモリ リーク

CSCvd39113

新しいユニットがセットアップに参加していなかったにもかかわらず、クラスタ C ハッシュ テーブルがもう 1 つのユニットで更新される

CSCvd41052

スケジューラ キューの破損が 9.6(2) 後の接続障害またはフェールオーバーの問題を引き起こす

CSCvd41423

cRLSign キーの使用を含む証明書によって CRL を署名する必要がある

CSCvd47781

インサービス アップグレード実行中の ASA のトレースバック

CSCvd49262

ジャイアント オブジェクト グループ(display_hole_og)を使用してアクセスリストを保存/表示しようとするとトレースバックする

CSCvd50389

RT#687120:クライアントレス VPN - SAML のブクマークに関する問題

CSCvd53884

モジュールのリロード後に ASA FirePOWER モジュール データ プレーンがダウンする

CSCvd55983

スレッド名 dhcp_daemon でのトレースバック

CSCvd56292

デフォルトの「global_policy」サービスポリシーが再起動後に削除された

CSCvd58417

DCERPC インスペクションでパケットがドロップされ、通信が切断される

CSCvd62509

ASDM で「アクセス ルール」を表示している際のスレッド名 accept/http での ASA トレースバック

CSCvd63718

スレッド名 IPSEC MESSAGE HANDLER で ASA-FP9300 がクラッシュした

CSCvd65797

NAT 関連オブジェクトを FQDN に変更すると ASA がクラッシュすることがある

CSCvd77893

アクセスグループの変更中に ASA がアサートのトレースバックを生成することがある

CSCvd78303

213 日の稼働後に ARP 関数が失敗し、「punt-rate-limit-exceeded」というエラーでドロップする

エンドユーザ ライセンス契約書

エンドユーザ ライセンス契約書の詳細については、http://www.cisco.com/go/warranty にアクセスしてください。