Cisco ASA シリーズ 9.8(x) リリースノート
このドキュメントには、Cisco ASA ソフトウェア バージョン 9.8(x) のリリース情報が記載されています。
特記事項
-
9.8(4.45)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
ASA 5506-X、5508-X、および 5516-X の ROMMON のバージョン 1.1.15 へのアップグレード:これらの ASA モデルには新しい ROMMON バージョンがあります(2019 年 5 月 15 日)。最新バージョンにアップグレードすることを強くお勧めします。アップグレードするには、『ASA Configuration Guide』の手順を参照してください。
注意
1.1.15 の ROMMON のアップグレードには、以前の ROMMON バージョンの 2 倍の時間がかかります(約 15 分)。アップグレード中はデバイスの電源を再投入しないでください。アップグレードが 30 分以内に完了しないか、または失敗した場合は、シスコ テクニカル サポートに連絡してください。デバイスの電源を再投入したり、リセットしたりしないでください。
-
9.8(2) 以降にアップグレードする前に、FIPS モードではフェールオーバーキーを 14 文字以上にする必要があります。FIPS モードで 9.8(2) 以降にアップグレードする前に、failover key または failover ipsec pre-shared-key を 14 文字以上に変更する必要があります。フェールオーバーキーが短すぎる場合、最初のユニットをアップグレードした時にフェールオーバーキーが拒否され、フェールオーバーキーを有効な値に設定するまで、両方のユニットがアクティブになります。
-
AnyConnect 4.4 または 4.5 で SAML 認証を使用しており、ASA バージョン 9.7.1.24、9.8.2.28、または 9.9.2.1(リリース日:2018 年 4 月 18 日)を展開している場合、SAML のデフォルト動作は、AnyConnect 4.4 および 4.5 でサポートされていない組み込みブラウザになります。したがって、AnyConnect 4.4 および 4.5 クライアントが外部(ネイティブ)ブラウザを使用して、SAML で認証するには、トンネル グループ設定で saml external-browser コマンドを使用する必要があります。
(注)
saml external-browser コマンドは、AnyConnect 4.6 以降にアップグレードするクライアントの移行のために使用されます。セキュリティ上の制限のため、AnyConnect ソフトウェアをアップグレードする際の一時的な移行の一環としてのみこのソリューションを使用してください。今後、このコマンド自体がサポートされなくなります。
-
Amazon Web サービスの ASAv については 9.8(1) にアップグレードしないようにしてください。CSCve56153 のため、9.8(1) にアップグレードするべきではありません。アップグレード後に、ASAv はアクセス不能になります。代わりに 9.8(1.5) 以降にアップグレードしてください。
-
ASAv5 のメモリの問題:バージョン 9.7(1) 以降、ASAv5 では、AnyConnect の有効化やファイルの ASAv へのダウンロードなどの特定の機能が失敗した場合に、メモリが枯渇することがあります。次のバグは 9.8 (1.5) で修正され、メモリ機能を透過的に改善し、必要に応じて ASAv5 により多くのメモリを割り当てられるようになりました(CSCvd90079 および CSCvd90071)。
-
ASA 9.x で使用する RSA ツールキットのバージョンは、ASA 8.4 で使用されたバージョンとは異なるため、これらの 2 つのバージョン間で PKI の動作に違いが生じます。
たとえば、9.x ソフトウェアを実行している ASA では、フィールド長が 73 文字までの [Organizational Name Value](OU)フィールドをもつ証明書のインポートが許可されます。8.4 ソフトウェアを実行している ASA では、60 文字までの OU フィールド名をもつ証明書のインポートが許可されます。この相違のため、ASA 9.x でインポートできる証明書を ASA 8.4 ではインポートできません。ASA 9.x 証明書をバージョン 8.4 を実行している ASA にインポートしようとすると、エラー「ERROR: Import PKCS12 operation failed.」が表示されます。
システム要件
このセクションでは、このリリースを実行するためのシステム要件を一覧表で示します。
ASA と ASDM の互換性
ASA/ASDM ソフトウェアおよびハードウェアの要件およびモジュールの互換性を含む互換性の詳細については、『Cisco ASA Compatibility』を参照してください。
VPN の互換性
VPN の互換性については、『Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。
新機能
このセクションでは、各リリースの新機能を示します。
(注) |
syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
ASA 9.8(4) の新機能
リリース日:2019 年 4 月 24 日
|
機能 |
説明 |
|---|---|
|
VPN 機能 |
|
|
webVPN HSTS へのサブドメインの追加 |
ドメイン所有者は、Web ブラウザの HSTS プリロード リストに含める必要があるドメインを送信できます。 新規/変更されたコマンド: hostname(config-webvpn) includesubdomains 9.12(1) でも同様です。 |
|
管理機能 |
|
|
非ブラウザベースの HTTPS クライアントによる ASA へのアクセスの許可 |
非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。多くの専門クライアント(python ライブラリ、curl、wget など)は、クロスサイト要求の偽造(CSRF)トークンベースの認証をサポートしていないため、これらのクライアントが ASA 基本認証方式を使用することを明確に許可する必要があります。セキュリティ上の理由から、必要なクライアントのみを許可する必要があります。 新規/変更されたコマンド: http server basic-auth-client 9.12(1) でも同様です。 |
|
show tech-support に追加の出力が含まれている |
show tech-support の出力が拡張され、次の出力が表示されるようになりました。
新規/変更されたコマンド: show tech-support 9.12(1) でも同様です。 |
|
SNMP ウォーク操作中の空きメモリおよび使用済みメモリの統計情報の結果を有効または無効にするためのサポート |
CPU リソースが過剰に使用されないようにするには、SNMP ウォーク操作によって収集された空きメモリと使用済みメモリの統計情報のクエリを有効または無効にすることができます。 新規/変更されたコマンド:snmp-server enable oid 9.10(1) でも同様です。 |
ASA 9.8(3) の新機能
リリース日:2018 年 7 月 2 日
|
機能 |
説明 |
|---|---|
|
プラットフォーム機能 |
|
|
Firepower 2100 アクティブ LED はスタンバイ モードのときにオレンジ色に点灯するようになりました。 |
以前は、スタンバイ モード時にはアクティブ LED は点灯していませんでした。 |
|
ファイアウォール機能 |
|
|
カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート。 |
ユーザー ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザーが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザーがログアウトすると、その IP アドレスのすべてのユーザーがログアウトされます。 新規/変更されたコマンド:aaa authentication listener no-logout-button 。 |
|
Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー |
デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。 新規/変更されたコマンド:cts sxp delete-hold-down period 、show cts sxp connection brief 、show cts sxp connections |
|
VPN 機能 |
|
|
従来の SAML 認証のサポート |
CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。 新規/変更されたコマンド: saml external-browser |
|
インターフェイス機能 |
|
|
シングル コンテキスト モード用の一意の MAC アドレス生成 |
シングル コンテキスト モードで VLAN サブインターフェイスの一意の MAC アドレス生成を有効にできるようになりました。通常、サブインターフェイスはメイン インターフェイスと同じ MAC アドレスを共有します。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、この機能により一意の IPv6 リンクローカル アドレスが許可されます。 新規または変更されたコマンド:mac-address auto 9.9 (2) 以降でも同様です。 |
ASA 9.8(2) の新機能
リリース:2017年8月28日
|
機能 |
説明 |
|---|---|
|
プラットフォーム機能 |
|
|
FirePOWER 2100 シリーズ用の ASA |
FirePOWER 2110、2120、2130、2140 用の ASA を導入しました。FirePOWER 4100 および 9300 と同様に、FirePOWER 2100 は基盤の FXOS オペレーティング システムを実行してから、ASA オペレーティング システムをアプリケーションとして実行します。FirePOWER 2100 実装では、FirePOWER 4100 および 9300 よりも緊密に FXOS を ASA と連携させます(軽量な FXOS 機能、単一デバイス イメージ バンドル、ASA および FXOS の両方に対する簡単な管理アクセス)。 FXOS には、EtherChannel の作成、NTP サービス、ハードウェアのモニタリング、およびその他の基本機能を含む、インターフェイスの構成ハードウェア設定があります。この構成では、Firepower Chassis Manager または FXOS CLI を使用できます。ASA には、(FirePOWER 4100 および 9300 とは異なり)スマート ライセンスを含む、その他すべての機能があります。ASA および FXOS はそれぞれ、管理 1/1 インターフェイスでの独自の IP アドレスを持っています。ユーザーは、任意のデータ インターフェイスから ASA および FXOS インスタンス両方の管理を設定できます。 次のコマンドが導入されました。connect fxos、fxos https、fxos snmp、fxos ssh、ip-client |
|
国防総省(DoD)統合機能認定製品リスト |
ASA は、統合機能認定製品リスト(UC APL)の要件に準拠するように更新されました。このリリースでは、fips enable コマンドを入力すると、ASA がリロードされます。フェールオーバーを有効にする前に、両方のフェールオーバー ピアが同じ FIPS モードになっている必要があります。 fips enable コマンドが変更されました。 |
|
Amazon Web Services M4 インスタンスサポートの ASAv |
ASAv を M4 インスタンスとして展開できるようになりました。 変更されたコマンドはありません。 |
|
ASAv5 1.5 GB RAM 機能 |
バージョン 9.7(1) 以降、ASAv5 では、AnyConnect クライアント の有効化や ASAv へのファイルのダウンロードなど、特定の機能が失敗した場合にメモリが枯渇することがあります。1.5 GB の RAM を ASAv5 に割り当てられるようになりました(1 GB から増加しました)。 変更されたコマンドはありません。 |
|
VPN 機能 |
|
|
HTTP Strict Transport Security(HSTS)ヘッダーのサポート |
HSTS は、クライアントレス SSL VPN でのプロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護します。これにより Web サーバーは、Web ブラウザ(またはその他の準拠しているユーザー エージェント)が Web サーバーと通信するにはセキュア HTTPS 接続を使用する必要があり、非セキュアな HTTP プロトコルを使用して通信することはできないことを宣言できます。HSTS は IETF 標準化過程プロトコルであり、RFC 6797 で指定されます。 次のコマンドが導入されました。hsts enable, hsts max-age age_in_seconds |
|
インターフェイス機能 |
|
|
ASAv50 の VLAN サポート |
ASAv50 では、SR-IOV インターフェイスの ixgbe-vf vNIC で VLAN がサポートされるようになりました。 変更されたコマンドはありません。 |
ASA 9.8(1.200) の新機能
リリース:2017年7月30日
(注) |
このリリースは、Microsoft Azure の ASAv でのみサポートされます。これらの機能は、バージョン 9.8(2) ではサポートされていません。 |
|
機能 |
説明 |
|---|---|
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
|
Microsoft Azure での ASAvのアクティブ/バックアップの高可用性 |
アクティブな ASAv の障害が Microsoft Azure パブリッククラウドのバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可する、ステートレスなアクティブ/バックアップソリューション。 次のコマンドが導入されました。failover cloud ASDM サポートはありません。 |
ASA 9.8(1) の新機能
リリース:2017年5月15日
|
機能 |
説明 |
|---|---|
|
プラットフォーム機能 |
|
|
ASAv50 プラットフォーム |
ASAvプラットフォームに、10 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス ASAv50 プラットフォームが追加されました。ASAv50 には ixgbe-vf vNIC が必要です。これは VMware および KVM でのみサポートされます。 |
|
ASAvプラットフォームの SR-IOV |
ASAvプラットフォームでは、Single Root I/O Virtualization(SR-IOV)インターフェイスがサポートされます。これにより、複数の VM でホスト内の 1 つの PCIe ネットワークアダプタを共有できるようになります。ASAv SR-IOV サポートは、VMware、KVM、および AWS でのみ使用可能です。 |
|
自動 ASP ロードバランシングが ASAv でサポートされるようになりました。 |
以前は、ASP ロード バランシングは手動でのみ有効または無効にできました。 次のコマンドを変更しました。asp load-balance per-packet-auto |
|
ファイアウォール機能 |
|
|
TLS プロキシ サーバーの SSL 暗号スイートの設定サポート |
ASA が TLS プロキシ サーバーとして動作している場合は、SSL 暗号スイートを設定できるようになりました。以前は、 ssl cipher コマンドを使用した ASA のグローバル設定のみが可能でした。 次のコマンドが導入されました。 server cipher-suite |
|
ICMP エラーのグローバル タイムアウト |
ASA が ICMP エコー応答パケットを受信してから ICMP 接続を削除するまでのアイドル時間を設定できるようになりました。このタイムアウトが無効(デフォルト)で、ICMP インスペクションが有効に設定されている場合、ASA はエコー応答を受信するとすぐに ICMP 接続を削除します。したがって、終了しているその接続に対して生成されたすべての ICMP エラーは破棄されます。このタイムアウトは ICMP 接続の削除を遅らせるので、重要な ICMP エラーを受信することが可能になります。 次のコマンドが追加されました。 timeout icmp-error |
|
ハイ アベイラビリティとスケーラビリティの各機能 |
|
|
改善されたクラスタ ユニットのヘルス チェック障害検出 |
ユニット ヘルスチェックの保留時間をより低めの値に設定できます(最小値は .3 秒)以前の最小値は .8 秒でした。この機能は、ユニット ヘルス チェック メッセージング スキームを、コントロール プレーンのキープアライブからデータ プレーンのハートビートに変更します。ハートビートを使用すると、コントロール プレーン CPU のホッギングやスケジューリングの遅延の影響を受けないため、クラスタリングの信頼性と応答性が向上します。保留時間を短く設定すると、クラスタ制御リンクのメッセージング アクティビティが増加することに注意してください。保留時間を短く設定する前にネットワークを分析することをお勧めします。たとえば、ある保留時間間隔の間に 3 つのハートビート メッセージが存在するため、クラスタ制御リンクを介してあるユニットから別のユニットへの ping が保留時間/3 以内に戻ることを確認します。保留時間を 0.3 ~ 0.7 に設定した後に ASA ソフトウェアをダウングレードした場合、新しい設定がサポートされていないので、この設定はデフォルトの 3 秒に戻ります。 次のコマンドを変更しました。health-check holdtime、show asp drop cluster counter、show cluster info health details |
|
に対してインターフェイスを障害としてマークするために設定可能なデバウンス時間 Firepower 4100/9300 シャーシ |
ASA がインターフェイスを障害が発生していると見なし、クラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。 新規または変更されたコマンド:health-check monitor-interface debounce-time |
|
VPN 機能 |
|
| VTI での IKEv2、証明書ベース認証、および ACL のサポート |
仮想トンネル インターフェイス(VTI)は、BGP(静的 VTI)をサポートするようになりました。スタンドアロン モードとハイ アベイラビリティ モードで、IKEv2 を使用できます。IPsec プロファイルにトラストポイントを設定することにより、証明書ベースの認証を使用できます。また、入力トラフィックをフィルタリングする access-group コマンドを使用して、VTI 上でアクセス リストを適用することもできます。 IPsec プロファイルのコンフィギュレーション モードに次のコマンドが導入されました。set trustpoint |
|
モバイル IKEv2(MobIKE)はデフォルトで有効になっています |
リモート アクセス クライアントとして動作するモバイル デバイスは、移動中にトランスペアレント IP アドレスを変更する必要があります。ASA で MobIKE をサポートすることにより、現在の SA を削除せずに現在の IKE セキュリティ アソシエーション(SA)を更新することが可能になります。MobIKE は [always on] に設定されます。 次のコマンドが導入されました。ikev2 mobike-rrc。リターン ルータビリティのチェックを有効または無効にするために使用されます。 |
|
SAML 2.0 SSO の更新 |
SAML 要求におけるシグネチャのデフォルト署名メソッドが SHA1 から SHA2 に変更され、ユーザーが rsa-sha1、rsa-sha256、rsa-sha384、rsa-sha512 の中から署名メソッドを選択して設定できるようになりました。 webvpn モードでの saml idp signature コマンドが変更されました。このコマンドには value を設定できます。デフォルトは [disabled] のままです。 |
| tunnelgroup webvpn-attributes の変更 |
pre-fill-username および secondary-pre-fill-username の値を ssl-client から client に変更しました。 webvpn モードでの次のコマンドが変更されました:pre-fill-username および secondary-pre-fill-username は client 値を設定できます。 |
|
AAA 機能 |
|
|
ログイン履歴 |
デフォルトでは、ログイン履歴は 90 日間保存されます。この機能を無効にするか、期間を最大 365 日まで変更できます。1 つ以上の管理メソッド(SSH、ASDM、Telnet など)でローカル AAA 認証を有効にしている場合、この機能はローカル データベースのユーザー名にのみ適用されます。 次のコマンドが導入されました。aaa authentication login-history、show aaa login-history |
|
パスワードの再利用とユーザー名と一致するパスワードの使用を禁止するパスワード ポリシーの適用 |
最大 7 世代にわたるパスワードの再利用と、ユーザー名と一致するパスワードの使用を禁止できるようになりました。 次のコマンドが導入されました。password-history、password-policy reuse-interval、password-policy username-check |
|
SSH 公開キー認証を使用するユーザーの認証とパスワードを使用するユーザーの認証を区別します。 |
9.6(2) より前のリリースでは、ローカル ユーザー データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザーに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザーのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザー名にのみ適用されます。また、任意の AAA サーバー タイプ (aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザーはローカル データベースを使用して公開キー認証を使用し、他のユーザーは RADIUS でパスワードを使用できます。 変更されたコマンドはありません。 バージョン 9.6(3) でも同様です。 |
|
モニタリング機能とトラブルシューティング機能 |
|
|
ASA クラッシュ発生時に実行中のパケット キャプチャの保存 |
以前は、ASA がクラッシュするとアクティブなパケット キャプチャは失われました。現在は、クラッシュが発生すると、パケット キャプチャは disk 0 に以下のファイル名で保存されます。[context_name.]capture_name.pcap。 変更されたコマンドはありません。 |
ソフトウェアのアップグレード
このセクションには、アップグレードを完了するためのアップグレードパス情報とリンクが記載されています。
ASA のアップグレードパス
現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。
-
ASDM: の順に選択します。
-
CLI:show version コマンドを使用します。
次の表に、ASA のアップグレードパスを示します。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要な場合があります。推奨バージョンは太字で示されています。
(注) |
開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。 |
(注) |
(注) |
ASA 9.12(x) は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、 ASA 9.2(x) は ASA 5505 用の最終バージョン、 ASA 9.1(x) は ASA 5510、5520、5540、5550、および 5580 用の最終バージョンです。 |
|
現在のバージョン |
暫定アップグレードバージョン |
ターゲットバージョン |
|---|---|---|
|
9.7(x) |
— |
次のいずれかになります。 → 9.8(x) |
|
9.6(x) |
— |
次のいずれかになります。 → 9.8(x) |
|
9.5(x) |
— |
次のいずれかになります。 → 9.8(x) |
|
9.4(x) |
— |
次のいずれかになります。 → 9.8(x) |
|
9.3(x) |
— |
次のいずれかになります。 → 9.8(x) |
|
9.2(x) |
— |
次のいずれかになります。 → 9.8(x) |
|
9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4) |
— |
次のいずれかになります。 → 9.8(x) → 9.1(7.4) |
|
9.1(1) |
→ 9.1(2) |
次のいずれかになります。 → 9.8(x) → 9.1(7.4) |
|
9.0(2)、9.0(3)、または 9.0(4) |
— |
次のいずれかになります。 → 9.8(x) → 9.6(x) → 9.1(7.4) |
|
9.0(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.8(x) → 9.1(7.4) |
|
8.6(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.8(x) → 9.1(7.4) |
|
8.5(1) |
→ 9.0(4) |
次のいずれかになります。 → 9.8(x) → 9.1(7.4) |
|
8.4(5+) |
— |
次のいずれかになります。 → 9.8(x) → 9.1(7.4) → 9.0(4) |
|
8.4(1) ~ 8.4(4) |
→ 9.0(4) |
→ 9.8(x) → 9.1(7.4) |
|
8.3(x) |
→ 9.0(4) |
次のいずれかになります。 → 9.8(x) → 9.1(7.4) |
|
8.2(x) 以前 |
→ 9.0(4) |
次のいずれかになります。 → 9.8(x) → 9.1(7.4) |
アップグレードリンク
アップグレードを完了するには、『ASA アップグレード ガイド』を参照してください。
未解決のバグおよび解決されたバグ
このリリースで未解決のバグおよび解決済みのバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。
(注) |
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントがない場合は、アカウントを登録できます。シスコサポート契約がない場合は、ID でのみバグを探すことができます。検索は実行できません。 |
Cisco Bug Search Tool の詳細については、Bug Search Tool(BST)ヘルプおよび FAQ を参照してください。
バージョン 9.8(x) で未解決のバグ
次の表に、このリリースノートの発行時点で未解決のバグを示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
複数のピアを持つ ASA VPN がフェールオーバー後に着信パケットをドロップする |
|
|
暗号部分での設定の生成により設定変更せずに変更される |
|
|
スレッド名を使用した ASA のトレースバック:キャプチャを削除して設定を保存した後の CFG CLI Rep |
|
|
「Thread Name: IKE Daemon」でのアクティブ ユニットのトレースバック |
|
|
ASDM のロードが「The flash device is in use by another task」というエラー メッセージが表示されて失敗する |
|
|
[SXP] FPR-2110 の ASA とスイッチ間での SXP 接続の確立に関する問題 |
|
|
ASA が conn-max exceeded syslog に負の値を記録し、許可済みのトラフィックをドロップすることがある |
|
|
「dns_cache_timer」プロセスの終了を待機している間に ASA がトレースバックし、リロードすることがある。 |
|
|
LINA キャプチャがさまざまなプラットフォームに適用されている場合のスループットの低下 |
|
|
FasterXML jackson-databind axis2-jaxws クラスのサーバー側要求の偽装 |
|
|
FasterXML jackson-databind openjpa クラスのブロッキングの脆弱性 |
|
|
FasterXML jackson-databind jboss-common-core クラスのブロッキングの脆弱性 |
|
|
FasterXML jackson-databind axis2-transport-jms クラスのブロッキングの脆弱性 |
|
|
FasterXML jackson-databind slf4j-ext クラスの任意のコードの実行に対する脆弱性 |
|
|
FasterXML jackson-databind Blaze-ds-Opt クラスおよび Blaze-ds-Core クラスの任意のコードの実行に対する脆弱性 |
|
|
FasterXML jackson-databind ポリモーフィック型逆シリアル化における外部 XML エンティティ攻撃に対する脆弱性 |
|
|
ASA L2TP クライアントがローカル プールから IP アドレスを受信できない |
|
|
box stall mid-transfer への ASA SCP 転送 |
|
|
IKEv2:両側がイニシエータとして設定されている場合に VTI トンネルが予期したとおりに機能しない |
|
|
モニターインターフェイスが有効になっている場合に OSPF への BGP 再配布が正しく動作しない |
|
|
TCP syslog サーバーに到達できていない間にセカンダリ/アクティブ FTD が接続をブロックしない。 |
|
|
DATAPATH スレッド名 SXP CORE での ASA のトレースバック |
|
|
ASA:データパスでのウォッチドッグのトレースバック |
|
|
CPU が「dns_cache_timer」スレッドに対して解放されないため、ASA がトレースバックし、リロードすることがある。 |
|
|
write standby または reload 後に、OSPF neighbor コマンドがスタンバイに複製されない |
解決済みのバグ
このセクションでは、リリースごとに解決済みのバグを一覧表で示します。
バージョン 9.8(4) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
DHCP での WebVPN 「enable intf」、ASA ブート時の CLI の欠落 |
|
|
リモート アクセス VPN を介して SSH 接続できない(Telnet、ASDM 動作時) |
|
|
十分な LCMB メモリを割り当てることができないため、5506 での最初のブート時に ASA がトレースバックする |
|
|
ASA ポリシーマップ設定がクラスタのスレーブに複製されない |
|
|
キャプチャ実行中に DATAPATH スレッドで ASA がトレースバックする |
|
|
syslog が VPN トンネルを介して送信されるとトレースバックする |
|
|
FIPS ブート テスト後に送信されたログが原因で ASA がブートループする |
|
|
スレッド名 DATAPATH-2-1785 でのトレースバック |
|
|
イメージのアップロード中に ASDM がエラーを表示する |
|
|
FTD 診断インターフェイスが br1 管理サブネットの ARP をプロキシする |
|
|
GTP インスペクションが CPU 使用率をスパイクさせることがある |
|
|
Cisco ASA SW、FTD SW、および AnyConnect セキュア モビリティ クライアント SAML 認証のセッション固定攻撃に対する脆弱性 |
|
|
ポートチャネルのサブ インターフェイス不一致のデフォルト DLY 値 |
|
|
トラフィックの処理時に ASA がトレースバックし、リロードすることがある |
|
|
NAT 検出ペイロードを使用した DPD により Strongswan/サードパーティ製クライアントとの IKEv2 MOBIKE セッションが失敗する。 |
|
|
接続複製時に ASA がスレッド名 fover_rep でトレースバックし、リロードすることがある |
|
|
MIO ブレードのハートビート障害により Firepower 2100 シリーズで障害が報告されることがある |
|
|
Firepower Threat Defense デバイスが Nexus 9000 を使用して ERSPAN を確立できない |
|
|
REST API の完全バックアップを介して設定を実行している ASA に指定されたコンテキスト設定が含まれていない |
|
|
デュアル ISP とバックアップ IPSEC トンネルを使用した DHCP リレーによりフラップが発生する |
|
|
IPv6 アドレスがインターフェイスに設定されている場合、ASDM/WebVPN がリロード後に動作を停止する |
|
|
ASA/FTD 導入エラー「Management interface is not allowed as Data is in use by this instance」 |
|
|
BGP ASN によってポリシーの展開が失敗する |
|
|
FTD:レイヤ 2 パケット(BPDU など)が snort の再起動中にドロップされる(インライン/パッシブ インターフェイスのみ) |
|
|
「np-sp-invalid-spi」という ASP によってマルチキャスト ip-proto-50(ESP)がドロップされる |
|
|
IPv6 から IPv4 への NAT 変換の実行後に ASA が暗号化に失敗する |
|
|
ASA が TCP/UDP syslog に 104001 メッセージおよび 104002 メッセージを送信しない |
|
|
PKI:ASA が「Add CA req to pool failed. Pool full.」というエラーで CRL の処理に失敗する |
|
|
ASA ペア:IPv6 スタティック/接続済みルートがアクティブ/スタンバイ ペア間で同期/複製されない |
|
|
stuck uauth エントリが AnyConnect ユーザー接続を拒否する |
|
|
ホップ制限 0 でのパケットの処理を ASA に許可する(RFC 8200 に準拠) |
|
|
REST-API:500 内部サーバ エラー |
|
|
CLI と REST-API の間の ASA NAT の位置の不一致が原因で REST が誤った設定を削除する |
|
|
ピアが存在しない場合に「ha-replace」アクションが動作しない |
|
|
ASA5585 デバイスの電源装置のシリアル番号が SNMP 応答に含まれない |
|
|
スタンバイ FTD の DATAPATH でのトレースバック |
|
|
HTTP のインスペクションによる FPR4120 でのダウンロードのハングとダウンロードの速度低下 |
|
|
LDAP over SSL 暗号化エンジン エラー |
|
|
VTI 使用時の ARP トラフィックにより 256 バイトのブロック リークが確認される |
|
|
ASA-IC-6GE-SFP-A モジュールが取り付けられている場合の ASA5515 の DMA のメモリ不足 |
|
|
IPv6 トラフィックに対するネイバー要請メッセージが確認される |
|
|
pki ハンドル:増加し、減少しない |
|
|
ASDM AC のダウンロード時に GUI 言語を編集しても FPR-21XX の変更が無視される |
|
|
スレーブ ユニットが S2S の UDP/500 および IPSec パケットをマスターにリダイレクトせずにドロップする |
|
|
フェールオーバーが「新規アクティブ」に移行しているときに to-the-box トラフィックがデータ インターフェイスの外にルーティングされる |
|
|
Telnet アクセスを使用して「failover active」を実行した後に生じるスレッド「Logger」でのスタンバイ トレースバック |
|
|
NSF による ASA の HA:ASA の HA でインターフェイス障害が発生した場合に NSF が正しくトリガーされない |
|
|
インターフェイスの MAC アドレスの変更時にフローオフロードのリライト ルールが更新されない |
|
|
バージョン 9.7 以前では ASA が SAML 設定に「no signature」を受け入れない |
|
|
リロードコマンドが ASAv で正常に機能しない |
|
|
ASA:zonelabs-integrity:プロセス「Integrity FW task」によるトレースバックと高 CPU |
|
|
ASA:リロード後にデバイスが SSL サーバー証明書パケットで ID 証明書のみを送信する |
|
|
CWE-20:不適切な入力検証 |
|
|
トレースバック:スレッド名:IPsec message handler |
|
|
WebVPN を介した Bonita BPM アプリの Web ページへのアクセスが失敗する |
|
|
システム メモリが 101% と報告する syslog 321006 を ASA 9.8.2 が受信する |
|
|
スレッド名 DATAPATH-14-17303 での ASA のトレースバック |
|
|
ASA DHCP を使用した Firepower 2110 が正常に動作しない |
|
|
portal-access-rule が「deny」から「permit」に変更される |
|
|
Firepower Threat Defense 2100 ASA の原因不明のトレースバック |
|
|
「clear capture /all」により Firepower 9300 MI の Firepower Threat Defense がクラッシュすることがある |
|
|
後続のフェールオーバーが 2 回実行されと ASA SIP セッションと Skinny セッションがドロップされる |
|
|
ASA のメモリ リーク:snp_svc_insert_dtls_session |
|
|
TrustSec SXP 削除 ホールド ダウン タイマーの値を設定する必要がある |
|
|
Firepower Threat Defense での ASA のトレースバック 2130-ASA-K9 |
|
|
ASA portchannel lacp max-bundle 1 hot-sby ポートがリンク障害後にアップ状態にならない |
|
|
コンテキスト ストレス テストの作成/削除により nameif_install_arp_punt_service でトレースバックが発生する |
|
|
ASA モジュールによって生成される SACK パケットの SLE 値と SRE 値を ASA が非ランダム化しない |
|
|
セキュリティ コンテキストの削除後にマルチキャストがドロップされる |
|
|
CLI コマンドの結果として最大 255 文字のエラーの上限が削除されるか、または増加する |
|
|
2 タプルおよび 4 タプルのハッシュ テーブルをロックレスに変更する |
|
|
スタティック IPv6 ルート プレフィックスが ASA 設定から削除される |
|
|
clear crypto ipsec ikev2 のコマンドがスタンバイに複製されない |
|
|
FTD が BGP のグレースフル リスタート後に End-of-RIB のマーカーを送信しない |
|
|
cli_xml_server スレッドでのトレースバック |
|
|
「show service-policy inspect gtp pdp-context detail」実行時の「SSH」でのトレースバック |
|
|
「virtual http」または「virtual telnet」の使用により、「same-security permit intra-interface」が誤って必要になる |
|
|
2100/4100/9300:Management Center からキャプチャを停止/一時停止しても CPU 使用率が低下しない |
|
|
アクティブ ASA での NetFlow 設定がスタンバイ ユニットで逆順に複製される |
|
|
集約プレフィックスをフラッディングする前に特定のプレフィックスの回収アドバタイズメントがフラッディングされる |
|
|
IP ローカル プールが同じ名前で設定されている |
|
|
Cisco 適応型セキュリティ アプライアンスのダイレクト メモリ アクセスにおけるサービス拒否攻撃に対する脆弱性 |
|
|
各リブート後に IPv6 に対して logging host コマンドが有効になっている場合の ASA のトレースバック |
|
|
1550 ブロックの枯渇により ASA が 6.2.3.3 をリロードする |
|
|
CSM から ASA にファイルをコピーしようとしたときに発生する無効な HTTP 応答(SSL 通信中の IO エラー) |
|
|
Cisco 適応型セキュリティ アプライアンスのアクセス コントロール リストにおけるバイパスの脆弱性 |
|
|
大規模な設定と ACL が原因で Slave Join 時にデータ インターフェイスの健全性チェックが失敗することがある |
|
|
ASA がネイバー損失後にタイプ 7 NSSA を保持する |
|
|
webvpn-l7-rewriter:IE でブックマークのログアウトが失敗する |
|
|
JS ファイルでのクライアント リライターの問題により Web ページがロードされない |
|
|
ASA IKEv2 キャプチャ タイプ isakmp が破損したパケットを保存しているか、またはパケットが欠落している |
|
|
ASA スマート ライセンス メッセージングが「nonce failed to match」で失敗する |
|
|
SCTP トラフィックにより ASA がトレースバックすることがある |
|
|
ASA:9.6.4、9.8.2:フェールオーバー ロギング メッセージがユーザー コンテキストに表示される |
|
|
「show memory binsize」および「show memory top-usage」で正しい情報が表示されない(修正完了) |
|
|
ハーフクローズ状態の lina conn テーブルでフローがスタックする |
|
|
9.8.2.20 を実行している ASA 5525 でメモリが枯渇する。 |
|
|
ASA が IKEv1 L2L トンネルグループに関する警告メッセージを生成する |
|
|
v2 ハンドオフの処理中に GTP ソフト トレースバックが確認される |
|
|
FlowControl が有効な場合に ASA5585 がプライオリティ RX リングを使用しない |
|
|
SSH/Telnet の管理セッションが pc ftpc_suspend でスタックすることがある |
|
|
スレッド名 DATAPATH-1-2325 での ASA のトレースバック |
|
|
アクティブな FTP データ転送が FTP インスペクションと NAT で失敗する |
|
|
show process(rip:inet_ntop6)実行時の ASA のトレースバックとリロード |
|
|
ASA SSLVPN ログイン ページのカスタマイズをロードするために必要な圧縮の有効化 |
|
|
GTP APN 制限の解析時に不要な IE が存在するエラー |
|
|
新しい ASAv Azure、KVM、および VMWare の導入でトレースバック ループが確認される |
|
|
無効なコンテンツ エンコーディングによりローカル CA からの証明書のインポートが失敗する |
|
|
ASDM/Telnet/SSHを介して QoS メトリックにアクセスするときに ASA のトレースバックとリロードが発生することがある |
|
|
設定セッション内で変更をコミットした後に SSH セッションがスタックする |
|
|
ASA の「snmp-server enable traps memory-threshold」で CPU が占有され、「no buffer」でドロップする |
|
|
ASA CP コアのピン接続によりコアローカル ブロックが枯渇する |
|
|
KVM(FTD):外部からの Web サーバーのマッピングが他のプラットフォームと一貫した動作をしない |
|
|
高スループットの LAN 間 VPN トラフィックによりデータ キー再生成で Firepower 2100 トンネルがフラップする |
|
|
ASDM を介して ASA にログインすると syslog 611101 に 0.0.0.0 の IP がリモート IP として表示される |
|
|
huasan 製スイッチで ASA の EtherChannel をアクティブ モードで設定すると MAC アドレスがフラッピングする |
|
|
GTP インスペクションおよびフェールオーバーによるトレースバックとリロード |
|
|
トレースバック:mutex ロック実行中の ASA 9.8.2.28 |
|
|
ASA クラスタ:NAT と高トラフィックによる CCL でのトラフィック ループ |
|
|
ASA WebVPN:SAP Netweaver の誤った書き換え |
|
|
GTP インスペクションが TCP パケットを処理してはならない |
|
|
インターフェイスの編集と展開後に FTD IPV6 トラフィックが停止する:パート 1/2 |
|
|
フラグメント化したパケットに関する非同期キューの問題によりブロックが枯渇する:9344 |
|
|
暗号マップが正しくないために DMA メモリが不足して VPN 障害が発生する |
|
|
CPU プロファイラがしきい値に達しないままサンプルを収集せずに実行を停止する |
|
|
ASA 9.8.3 スマート ライセンスのデフォルト設定が誤っている |
|
|
「Thread Name: Logger Page fault: Address not mapped」での FTD または ASA のトレースバックとリロード |
|
|
ASA が、クライアントレス WebVPN の HTTP 応答ページで返されたチャンク化済み転送エンコーディングを処理できない |
|
|
ASA がメッセージ本文として HTTP を送信するとクライアントレス WebVPN が失敗する |
|
|
オーバーヘッドによるメモリ使用率が含まれているために「show memory」の「free memory」が正しく出力されない |
|
|
インターフェイスに適用されている QoS が機能しない |
|
|
ASA が「フラッシュからの読み取り中」に数時間にわたってスタックする |
|
|
FPR9K-SM-44 での ASA 9.8(2)24 のトレースバック |
|
|
EEM を使用して VPN 接続イベントを追跡するとトレースバックとリロードが発生することがある |
|
|
アクティブ ユニットの IP を使用してスタンバイ ユニットが BFD パケットを送信すると BGP のネイバーシップが障害を起こす |
|
|
BVI インターフェイスの管理アクセスを使用した write net コマンドの開始が成功しない |
|
|
「capture stop」コマンドが asp-drop タイプのキャプチャで機能しない |
|
|
ASA:PC cssls_get_crypto_ctxt によるメモリ リーク |
|
|
GTP 削除ベアラー要求がドロップされている |
|
|
ASA トレースバック:スレッド名 NIC Status Poll |
|
|
IKEv2 Xuauth のインストールに失敗したため Spyker の IPSEC RAVPN が失敗する |
|
|
v1 ホストが設定されている状態でそのホストからの v2c walk が成功する |
|
|
ルート トラッキング エラー |
|
|
SIP インスペクションの脆弱性による Cisco ASA および FTD のサービス拒否または高 CPU |
|
|
オブジェクト グループの検索しきい値の作成がデフォルトで無効になっており、設定可能である。機能停止の原因となる。 |
|
|
ACE での OSPF/EIGRP と IPv6 の同時使用が原因で ASA が同期設定中にスレーブ/スタンバイでトレースバックする |
|
|
Cisco 適応型セキュリティ アプライアンス ソフトウェアの特権昇格の脆弱性 |
|
|
Firepower 2100 ASA スマート ライセンスのホスト名の変更がスマート アカウントに反映されない |
|
|
FP プラットフォームで「No Switchover」のステータスのままで HA 障害を起こしたプライマリ ユニットがアクティブと表示される |
|
|
Cisco 適応型セキュリティ アプライアンスの WebVPN:VPN がブラウザを介して接続しない |
|
|
同じ dACL が接続されているすべての AnyConnect クライアントの dACL を ASA が誤って削除する |
|
|
スレッド名 vpnfol_thread_msg での高可用性スタンバイ ユニットのトレースバック |
|
|
サーバーの応答が大きすぎた場合に(ERR_RESPONSE_TOO_BIG)ASA Kerberos 認証で TCP への切り替えが失敗する |
|
|
ASA:PC alloc_fo_ipsec_info_buffer_ver_1+136 によるメモリ リーク |
|
|
ASA:CLI:ユーザーにネットワーク オブジェクト「ANY」の作成を許可してはならない |
|
|
log default コマンドでアクセス コントロール ライセンス エントリを変更できない |
|
|
ASA が H323 H225 を検査しない |
|
|
ASAv/FP2100 スマート ライセンス:ライセンスを登録/更新できない |
|
|
IRB 設定でホストが到達不能な場合に ASA コア ブロックが枯渇する |
|
|
FTD:重複する NAT ステートメントが設定されている場合に SSH から ASA へのデータ インターフェイスが失敗する |
|
|
トラフィックを使用して vpn モードを変更するとスピン ロックがトレースバックする |
|
|
イベント マネージャの出力でトレースルートの 1 行目のみがキャプチャされる |
|
|
WebVPN クライアントレス:パスワード管理に関する問題 |
|
|
BVI IF を NTP 送信元インターフェイスとして設定すると NTP 同期が機能しない |
|
|
ASA 5506 における http://x.x.x.x/asasfr-5500x-boot-6.2.3-4.img コピー中のエラー(デバイスにスペースが残っていない) |
|
|
FTD:「object-group-search」が flexconfig を介してプッシュされるとすべての ACL が削除されて機能停止が発生する |
|
|
FTD デバイスがアクティブ状態になった後に 5 分以内にリブートされる |
|
|
管理者が ASA 5500-X に CXSC モジュールを取り付けられないようにする |
|
|
メモリ不足の状態が検出されると、show memory の使用済みメモリに負の値が示される |
|
|
FTD:パーサーからの ethertype ACL を信頼する機能が必要である。BPDU の通過を許可する必要がある |
|
|
トランスペアレント モードでの実行時にポートチャネル IF のインターフェイス番号が未割り当てと表示される |
|
|
NULL チェックなしの SCTP トラフィック インスペクションにより ASA がトレースバックすることがある |
|
|
CPU プロファイリング結果表示時のトレースバックとリロード |
|
|
ASA:失敗した SSL 接続が削除されず、DMA メモリが枯渇する |
|
|
Firepower 4100 の ASA で ADI プロセスの開始に失敗する |
|
|
Nameif がインターフェイスで設定されている場合に SNMPv2 が空の ifHCInOctets 値をプルする |
|
|
アクティブ ASA での除外設定をスタンバイ ASA と同期できない |
|
|
ASAv での「show memory」 CLI 出力が正しくない |
|
|
AnyConnect の認証/DAP アセスメントの実行中に ASA が emweb/https でトレースバックする |
|
|
ACL:アクセスグループの設定エラー後に ACL を設定できない |
|
|
IKEv2 が他の VPN ライセンスの取得に失敗した |
|
|
call-home で使用したインターフェイス設定を削除すると ASA がトレースバックする |
|
|
HA 設定の同期を使用した wccp_int_statechange() でのスタンバイ ノードのトレースバック |
|
|
OS アップグレード時の ASA ルートの変更 |
|
|
プライマリ DMA プールが枯渇すると、ASA は GCM(SSL)接続を許可して DMA_ALT1 を使用する必要がある |
|
|
ASA:FIPS が有効な場合に Quovadis ルート証明書をトラストポイントとしてロードできない |
|
|
証明書チェーンで「No certificate」コマンドを実行すると誤った証明書が削除される |
|
|
IOS XE 16.5.1 以降で実行されているネイバーから送信された LLS TLV を持つ OSPF hello パケットが ASA によって破棄される |
|
|
「show interface」の実行時に指定した仮想 MAC アドレスを表示できなかった |
|
|
フェールオーバーは有効になっているが他のデバイスが到達不能の場合に AnyConnect の証明書認証と定期証明書認証が失敗する |
|
|
RA VPN + SAML 認証により RADIUS サーバーに対して 2 つの許可要求が発生する |
|
|
ファイバの枯渇により ASA が新しい AnyConnect 接続の認証を停止する |
|
|
ASA/FTD:CCL リンクのメンバインターフェイスの変更後に MAC アドレスが更新されない |
|
|
キー再生成後に DTLS が失敗する |
|
|
CXSC モジュールが継続的にリロードされるために ASA 5500-X が crashinfo を書き込まずにリロードすることがある |
|
|
フロー テーブル設定の更新中に devcmd 障害時における CRUZ への複数回の再試行をサポートする方法 |
|
|
ディスクが FSCK になっている場合、ASA は電源再投入後の再起動に失敗する |
|
|
Nokia 7705 ルータでの ISA3000 の相互運用性の問題 |
|
|
DPD がフェールオーバー後に機能せずフェールバックした場合に(まれに)機能停止が発生することがある |
|
|
KP:AnyConnect がプールから使用している IP が使用可能と表示される |
|
|
複数のスレッドが同じロックを待機しているために発生する ASA のトレースバックとリロード :ウォッチドッグ |
|
|
IPSec を使用したデータパスでの ASA 5585 9.8.3.14 のトレースバック |
|
|
SSL クライアントとしての ASA がハンドシェイク エラー パスでメモリ リークを起こす |
|
|
inspect_process でのトレースバック |
|
|
範囲外の allocate-interface コマンドによる ASA マルチコンテキストのトレースバックとリロード |
|
|
ASA SNMP による CPU の占有 |
|
|
「Process Name: lina」| Netflow による ASA のトレースバック |
|
|
SCP のダウンロードにより DMA_Pool で発生するバイナリ サイズ 1024 のメモリ リーク |
|
|
パケット トレーサが「ERROR: TRACER: NP failed tracing packet」で失敗し、循環 ASP でキャプチャをドロップする |
|
|
syslog ID 111005 が正しく生成されない |
|
|
ASA クラスタを 9.10.1.7 にアップグレードするとトレースバックが発生する |
|
|
OOM が原因で FMC からの展開が失敗し、理由が示されない |
|
|
CSCuz22961 の hanover におけるスプリット DNS コミットの問題に対する 255 文字以上のサポート |
|
|
新しい IKEv1 トンネルを確立して終了すると IPSec でメモリ リークが検出される |
|
|
DHCPRelay がユニキャスト フラグ付きの DHCP Offer パケットを消費しない |
|
|
モジュールの差異が発生した場合、フェールオーバー FSM はマルチコンテキストのアクティブ/アクティブでスタックする |
|
|
「log default」キーワードのあるアクセスリストを削除できない |
|
|
トンネル グループ:「no ikev2 local-authentication pre-shared-key」でローカル証明書の認証が削除される |
|
|
新しいサブインターフェイスが追加され、「ac-address auto」が有効になると EIGRP が中断する |
|
|
マルチコンテキスト展開でのリソースの問題により AnyConnect セッションが拒否される |
|
|
9.6(4)6 から 9.6(4)20 へのアップグレード時にスタンバイがリブート ループに陥ることがある |
|
|
ASA IPSec VPN EAP が PKI の有効な証明書をロードできない |
|
|
OSPF プロセス のクリア後でも OSPF プロセス ID が変更されない |
|
|
ASA5506:IBR:インターフェイスが IBR モードの BVI にある場合にホスト名を使用して ping を実行できない |
|
|
キー再生成中に PKI ハンドルが解放されないため、VPN セッションが失敗する |
|
|
SCP のボックスへの大規模なファイル転送によりトレースバックが発生する |
|
|
VTI が存在する場合に crypto ipsec inner-routing-lookup の設定を許可しないようにする必要がある |
|
|
アクティブからスタンバイに切り替えようとしたときの ASA のトレースバックとリロードスレッド名:fover_FSM_thread |
|
|
インターフェイスに設定されているフェールオーバー MAC アドレスでのサブインターフェイスの削除が許可されていない |
|
|
IKE デバッグ実行中の ASA のトレースバックとリロード |
|
|
アップグレード後にスマート トンネルのブックマークが機能せず、証明書エラーとなる |
|
|
TCP の syslog がダウンしている場合に ASA がコマンド認可に失敗する |
|
|
影響を受けるスレッドとしてデータパスを示すトレースバックとリロード |
|
|
ASA がトレースバックしリロードすることがある。WebVPN トラフィックに関連する可能性がある |
|
|
GTP トラフィックの検査中のメモリ リーク |
バージョン 9.8(3) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
ASA 8.0:CSCOPF.CAB に期限が切れたコード署名証明書がある |
|
|
集約認証のデバッグではパスワードをマスクする必要がある |
|
|
「show service set conn detail」を実行したときのスレッド SSH での ASA のトレースバック |
|
|
ASA:DATAPATH-2-1157 でのトレースバック |
|
|
ASA が「log disable」オプションを使用して ACE を削除できない |
|
|
Cisco 適応型セキュリティ アプライアンスのトラフィック フローの機密性におけるサービス拒否攻撃に対する脆弱性 |
|
|
ユニコーン プロキシ スレッドでの ASA のトレースバック |
|
|
snp_fp_qos での 9.7.1 のトレースバック |
|
|
%ASA-1-199010 と %ASA-1-716528 の syslog メッセージによる ASA 9.1(7)9 のトレースバック |
|
|
asa Rest-api:コンポーネントモニタリング:空の値/空白値 |
|
|
Threat Defense:ASA CLI でのインターフェイス キャプチャによりすべてのトラフィックがデータプレーンでドロップされる |
|
|
フェールオーバーを設定するときの createFoverInterface での _lina_assert |
|
|
ASA「show tech」の一部のコマンドが 2 回実行され、running-config/ak47 detailed/startup-config エラーが表示される |
|
|
設定を保存/表示すると時間範囲の ACL により ASA がトレースバックする |
|
|
ASA SSL クライアントが再ネゴシエーション要求に応答しない |
|
|
ASA 9.6.2.11:クラスタでの CTP uauth による断続的な認証 |
|
|
ENH:igp stale-route の低いほうのタイムアウト値を 10 秒未満の値に下げる必要がある |
|
|
Cisco 適応型セキュリティ アプライアンスの TLS におけるサービス拒否攻撃に対する脆弱性 |
|
|
ASA ポータルの Java プラグインが最新の Java 更新で失敗する |
|
|
Cisco 適応型セキュリティ アプライアンスの TLS におけるサービス拒否攻撃に対する脆弱性 |
|
|
Cisco 適応型セキュリティ アプライアンスのアプリケーション レイヤ プロトコルのインスペクションにおける DoS に対する脆弱性 |
|
|
DATAPATH-1-2084 ASA 9.(8)1 でのトレースバック |
|
|
週末の VPN ロードテスト後に 1700 個の「4 バイトブロック」がすべて枯渇した |
|
|
ScanSafe インスペクションによる ASA メモリの枯渇 |
|
|
スレッド名 CTM message handler における Kenton 上での ASA のトレースバック |
|
|
asp-drop をキャプチャすると、予期しない ASA 障害が発生する |
|
|
FTD での Snort IAB では Perfstat の提供に PDTS が必要になる |
|
|
SNMP:ユーザーが再設定後のユーザーリストまたはホストに追加されない |
|
|
CSCvb29688 に対する修正にもかかわらず、9.1 コードで古い VPN コンテキストに関する問題が確認された |
|
|
ASA:バージョン 9.6 以降での空き DMA メモリの不足(ASA 5515 のみに適用) |
|
|
IPSec とトンネル グループ URL を使用した AnyConnect のマルチ証明書認証が失敗する |
|
|
ENH:サブインターフェイスの作成時に一意の IPv6 リンクローカルアドレスが割り当てられる |
|
|
AnyConnect クライアントに IPv6 アドレスが断続的に割り当てられる |
|
|
破損した PKCS12 として ASA が ECDSA をエクスポートする |
|
|
WebVPNと共有 storage-url config でのフェールオーバー同期時の ASA のトレースバック |
|
|
フロー オフロードによる DATAPATH 内の 2100/4100/9300 のトレースバック時の FTD |
|
|
空きメモリが不足している ASA で既存のクラスタの参加が失敗し、トレースバックとリロードが発生する可能性がある |
|
|
ルーテッド モードの ASA 9.8.1 BVI が ASA から生成されたトラフィックに対するルート ルックアップを実行していない |
|
|
DAP 設定は復元されるが、バックアップ復元後に非アクティブになる |
|
|
mroute が設定されている場合に ASA が register stop を送信しない |
|
|
SIP トラフィックがダイナミック NAT ルールにヒットしたため、ASA が DATAPATH でクラッシュする |
|
|
カスタム ルーテッド コンテキストで ASA が BVi0 インターフェイスを作成する |
|
|
送受信したバイト数と IP アドレス スイッチに NetFlow が大きな値を返す |
|
|
既存の EIGRP 設定に新しいネットワークを追加できない |
|
|
エラー:暗号マップを作成できない:エントリを追加するときに上限に到達する |
|
|
証明書がスタンバイに同期しない/すべての証明書がスタンバイの導入後障害でクリアされる |
|
|
WebVPN リライターが内部 URL が原因で失敗する |
|
|
ASA// 9.6 // FTP インスペクションで、PAT を使用したアクティブ FTP 上のデータトラフィックに新しい NAT 全体を割り当てられない |
|
|
NSF が有効な状態で ASA フェールオーバーが実行されると OSPF ルートがピアデバイスにインストールされない |
|
|
「no capture < name > stop」でキャプチャ ステータスが Stopped から変更されない |
|
|
ENH:GOID の割り当てと同期のクリーンアップ |
|
|
FXOS 上の ASA が SNMP Ifspeed OID (1.3.6.1.2.1.2.2.1.5)応答値 = 0 を送信している |
|
|
ASA:80 バイトメモリブロックの枯渇 |
|
|
データパスでの ASA 9.6(2)、9.6(3) のトレースバック |
|
|
KP:アクティブ ASA で「write mem all」を実行すると fover_parse のスタンバイ ASA で CPU が占有状態になる |
|
|
ポートチャネルでのポートフラップ時に ASA が LACP PDU を送信しない |
|
|
トランスペアレント ファイアウォール:誤った DSAP 値で Ethertype の ACL がインストールされる |
|
|
最適化:複数の DATAPATH スレッドが同時コンパイル中の tmatch 構造体を読み取ることができる |
|
|
NAT によるスレッド DATAPATH でのトレースバック |
|
|
ASA:セカンダリ ASA がリロードされると、entConfigChange が予期せず送信される |
|
|
送信元 IP アドレスが 0.0.0.0 の IGMP レポートパケットを ASA がドロップする |
|
|
Cisco 適応型セキュリティ アプライアンスのフロー作成におけるサービス拒否攻撃に対する脆弱性 |
|
|
Firepower Threat Defense デバイスでのエラー:キャプティブポータル ポートが使用できない。もう一度やり直してください |
|
|
FP2100 IFT の顧客が PC へのイメージのダウンロードに ASDM を使用できない |
|
|
FXOS:トランスペアレントモードの ASA/FTD スタンバイユニットがオフロードされたフローのトラフィックを止めることがある |
|
|
Firepower Threat Defense が登録時にスレッド名 appAgent_monitor_nd_thread でトレースバックすることがある |
|
|
AWS GovCloud の ASAv イメージが時間単位の課金モードで動作しない |
|
|
snp_egress_capture_sgt() での ASA のクラッシュ |
|
|
IKEv2 RA 証明書認証。新しいセッションを割り当てることができない。最大セッション数に到達した |
|
|
ホストスキャン:Microsoft および Panda の .dll ファイルのダウンロード時の cscan.log エラー |
|
|
OpenSSL CVE-2017-3735「incorrect text display of the certificate」 |
|
|
リブート後に管理専用に復帰する |
|
|
パケットが PBR に到達し、接続が確立されたときの 112 バイト bin でのメモリリーク |
|
|
EtherChannel に障害が発生した場合のフェールオーバー後に ASA ルートがフラッシュされる |
|
|
K7 ライセンスによる 一部のインスペクションでの「Incomplete command」エラー |
|
|
ASA:962 へのアップグレード後の ICMPv6 syslog メッセージ |
|
|
3 ノード のシャーシ内クラスタでのトラフィックによるトレースバック |
|
|
CCL リンク障害によってスレーブがキックアウトされた後に再参加してもマルチコンテキストモードで v3 ユーザーが失われる |
|
|
ASA:スレッド名 idfw_proc によるトレースバック |
|
|
ASA:まれに発生したスケジューラの破損によってコンソールロックが発生する |
|
|
NAT が含まれていると ASA クラスタが IP フラグメントを断続的にドロップする |
|
|
パケット キャプチャ バッファを有効にするか、またはクリアしたときの ASA/Firepower Threat Defense のトレースバック |
|
|
Cisco Firepower 2100 シリーズのセキュリティ アプライアンスの IP フラグメンテーションにおけるサービス拒否攻撃に対する脆弱性 |
|
|
CSCvc82150 に対する修正にもかかわらず、ASA WebVPN HTTP の Strict-Transport-Security ヘッダーが欠落する |
|
|
ASDM または show file system を介して AnyConnect イメージをアップロードするときの FP 2100 での ASA のトレースバック |
|
|
PAT プールの範囲が非常に大きいことによるスタンバイ ASA の 高い CPU 使用率 |
|
|
OGS が有効になっている場合に、フェールオーバー HAが またはメモリが不足しているクラスタに ASA が再参加できない |
|
|
「debug menu」セルフ テストの実行時に glib/g_slice で ASA がクラッシュする |
|
|
ASA が DCERPC インスペクションのピンホールを作成せず、debug dcerpc が「MEOW not found」と表示する。 |
|
|
ASA:9.2(4) から 9.2(4)18 へのアップグレード後にシリアル接続がハングする |
|
|
永久ライセンスの予約ライセンスが ASAv にインストールされない |
|
|
「clear local-host <IP>」がすべてのホスト/接続の ASA クラスタ全体に存在するすべてのスタブフローを削除する |
|
|
クラスタ参加時にスレーブユニットが PAT のすべての接続で枯渇している ASA-3-202010: NAT/PAT プールを生成する |
|
|
DATAPATH プロセスと WebVPN プロセス間でのデッドロックによる ASA のトレースバック |
|
|
「Detect service module failure」により、Firepower 2100 Threat Defense ペアのレポートが失敗する |
|
|
ASA:インスペクションが有効になっている場合の高いメモリ使用率 |
|
|
ASA 5555 9.6.3 のローカル証明書認証を使用した Wi-Fi 経由で iPhone IKEv2 PKI がリークする |
|
|
DNS インスペクションにより CP 処理で ASA-SSP HA がリロードする |
|
|
トラフィックの停止後にチャンク メモリがシステムに解放されない |
|
|
Show OSPF Database コマンドによるトレースバック |
|
|
サイト間セキュリティ VPN トンネルを介して DNS サーバーが到達可能な場合に ASA ローカル DNS 解決が失敗する |
|
|
1 つのノードが再参加し、トラフィックが再起動されると、snpi_untranslate が原因でユニット 100% CPU が発生する |
|
|
Firepower Threat Defense(2100、4100、9300 シリーズ)で REST-API が残留する |
|
|
ASA panic/crash spin_lock_fair_mode_enqueue:ロック(mps_shash_bucket_t)が長期間にわたって保持されている |
|
|
SNMP ポートのスタティック NAT 設定により ASA がハング状態でスタックする |
|
|
転送ポート:アイデンティティ UDP トラフィックにより 1550/2048/9344 バイトのメモリブロックが枯渇する |
|
|
ポリシーの展開後にスタンバイ Firepower 4140 モジュール上でクラッシュする |
|
|
ASA サイト間クラスタリング:ASA がユニキャスト ARP 要求を受信すると追加分の ARP が生成されない |
|
|
SFR モニタリング モードで高 CPU が検出される |
|
|
NAT ルールの変更時とパケット キャプチャが有効になっているときの ASA with Firepower Services でトレースバックが発生する |
|
|
IPSec が有効になっている場合、高可用性が Active-Failed の状態になる。 |
|
|
HTTP クライアント(ファイル コピーなど)として動作している場合、ASA が接続を閉じられない場合がある |
|
|
ifInDiscards の ASA SNMP OID が常に 0 |
|
|
Javascript 要素のリライターの問題 |
|
|
宛先 IP としてのサブネットアドレスに ASA ブロードキャストのパケットが送信される |
|
|
「OCTEON:DROQ[8] idx: 494 len:0」メッセージがデバイスのコンソールアクセス時に表示される |
|
|
Cisco 適応型セキュリティ アプライアンスの WebVPN クロスサイト スクリプティングの脆弱性 |
|
|
Cisco 適応型セキュリティ アプライアンスの Remote Code Execution とサービス拒否攻撃に対する脆弱性 |
|
|
64 文字を超える証明書からの ASA AC クライアントの PKI ユーザー名が 64 文字に切り詰められる |
|
|
SNMP 展開の失敗によってポリシーのロールバックが発生する |
|
|
FP4120/ASA 9.6(3)230 「established tcp」が SW アップグレード後に動作しなくなる |
|
|
1550 ブロックの枯渇による ASA のトレースバック |
|
|
オフロードされたフローがアイドル タイマーを更新できず、接続が誤ってタイムアウトする |
|
|
ASA のトレースバック:スレッド名 scansafe |
|
|
IKE デーモンの高 CPU 使用率により、拡張された環境での VPN トンネルのコンバージェンスが遅くなる |
|
|
inlineIPS モードの 9300 ペア の NGFW が SNAP パケットの更新を適切な VLAN タグでトリガーしない |
|
|
ASA でパスワードの暗号化を有効にした後、システムコンテキストで設定を保存できない |
|
|
ASA 9.8.2 上で「dir /recursive cache:/stc」と「dir cache:stc/2/」が異なる AnyConnect.xsd リストを作成する |
|
|
9.8.2.8 バージョンで実行中の ASA 5506 でサイズ 80 のメモリ ブロックが枯渇する |
|
|
ASA 9.8.1+ IKEv2 VPN のロードバランシングが IKE_AUTH の後に DELETE を送信する |
|
|
SSL ハンドシェイクが大規模な証明書チェーンで失敗する |
|
|
大きなファイルの ASA L2TP/IPSEC SMB アップロードが失敗する:tcp-buffer-timeout がドロップする |
|
|
サービス オブジェクトグループの変更(オブジェクトの追加と削除)で ACE が削除される |
|
|
ASA が PPPoe/VPDN インターフェイスで二重入力パケットトラフィックを誤って報告する |
|
|
フローオフロードと高レートのフロー テーブルのコリジョンを使用した評価済みの CPU |
|
|
Sysopt permit-vpn の動作が意図していないクリアテキスト トラフィックを阻止するように変更される |
|
|
SSH/Telnet トラフィック、3-WHS、データを含む ACK パケットがドロップされる:理由(intercept-unexpected) |
|
|
ASA:スレッド名:Dynamic Filter updater でのソフトウェアのトレースバック |
|
|
Cisco ASA SW、FTD SW、および AnyConnect セキュア モビリティ クライアント SAML 認証のセッション固定攻撃に対する脆弱性 |
|
|
GTP エコー応答が ASA クラスタでドロップされる |
|
|
ASA が x25519 という曲線とのサーバーキーの交換を受信すると接続を破棄する |
|
|
TCP トラフィック処理中(StreamQueue)のセグメンテーション違反。 |
|
|
ASA クラスタで直接認証が機能しない。 |
|
|
ASA/FTD:フェールオーバー後の LSA の欠落により OSPFv3 が再配信を停止する |
|
|
fover とその後に データ IFC がダウンしたときのインターフェイス障害から回復後のスプリット ブレーン |
|
|
RDP セッションが ASA での SSL 証明書の変更後に確立されない。 |
|
|
vpnfol_memory_allocate と pnfol_data_dyn_string_allocator による ASA でのメモリリーク |
|
|
FTD:IPv6 トラフィックが 5 タプル アルゴリズムに従ってロードバランシングされない |
|
|
Kenton:ポリシー展開時の ASA5506 のトレースバック |
|
|
6.2.2 を実行中の Firepower Threat Defense で ERSPAN が動作しない |
|
|
ASA:write erase の後にマルチセッションコマンドが設定される |
|
|
3 ノード Firepower 9300 分散型クラスタ内のスレッド名 DATAPATH-1-27929 で ASA がクラッシュする |
|
|
CSM がtcp-state-bypass ログの解析に失敗した |
|
|
トランスペアレント ASA で IPv6 アドレスにより ICMP/Telnet トラフィックが失敗する |
|
|
IRB がマルチキャスト トラフィックとともに使用されている場合にサイズ 80 のブロックのリークが観察される |
|
|
フェールオーバーが実行されている間にマルチコンテキストの ASA の SSP がアクティブ/アクティブの状況に移行する |
|
|
フロー オフロードで NAT 済みのトラフィックがトランスペアレント モードで動作していない |
|
|
Firepower Threat Defense のプレフィルタ ポリシーが双方向フローの fast-path の一方向にのみポリシーを事前フィルタリングする |
|
|
IPv6 アドレスへの ASA ping が指定された送信元 IP ではなく出力インターフェイスの送信元 IP を選択する |
|
|
ASDM を介したフェールオーバー マスター パスフレーズのクラッシュ |
|
|
ASA モジュールによって生成される SACK パケットの SLE 値と SRE 値を ASA が非ランダム化しない |
|
|
ARP トラフィックはインスペクションのために Snort に送信するようにハードコーディングされてはならない |
|
|
ASA:OpenSSL の脆弱性、CVE-2017-3737 と CVE-2017-3738 |
|
|
NAT 検出ペイロードを使用した DPD により Strongswan/サードパーティ製クライアントとの IKEv2 MOBIKE セッションが失敗する。 |
|
|
snmp:9.6(3)1 へのアップグレード後の snmpwalk の結果が異なる |
|
|
Cisco 適応型セキュリティ アプライアンスのクライアントレス SSL VPN におけるクロスサイト スクリプティングの脆弱性 |
|
|
Cisco 適応型セキュリティ アプライアンスのアプリケーション レイヤ プロトコルのインスペクションにおける DoS に対する脆弱性 |
|
|
広範囲に及ぶ送信元オブジェクトを持つ ACL がヒット カウントを誤って追跡する |
|
|
4140 シャーシの高可用性ペアでの両方の ASA のトレースバック |
|
|
ASA:BGP show コマンド適用中のスレッド名 SSH でのトレースバック |
|
|
hostscan が有効になっている状態で ASDM が動作を停止する。ASDM が hostscan が無効な状態で動作する。 |
|
|
ASA は ping 時に ICMPv6 エコーを送信するのに著しい時間がかかる。 |
|
|
コンテキスト変更/設定の同期時に ASA のウォッチドッグがトレースバックする |
|
|
ASA 上の idfw コンポーネントのメモリ リーク |
|
|
ASA 5506-x プラットフォーム上での解放済みメモリのシステムへの解放が遅い |
|
|
ASAv5:9.8(2) 以降での空き DMA メモリの不足 |
|
|
VPN 経由のフラグメント化されたトラフィックにより 2048 バイト ブロックのリークが遅くなる |
|
|
ASA:インスペクションが有効になっているときにゾーン内に設定されたインターフェイスで ICMP フローが「no-adjacency」によりドロップする |
|
|
「no snmp-server host <interface> <ip-address>」が機能しない |
|
|
ScanSafe アプリケーションの健全性チェックを完全に無効にできない |
|
|
L2FW を通過する IPv6 プロトコルの 112 個のパケットが無効な IP 長メッセージでドロップされている |
|
|
SSL により Firepower Threat Defense デバイス上の ASA がトレースバックする |
|
|
スレッド名「idfw_proc」での ASA トレースバック |
|
|
Firepower Threat Defense デバイスが Nexus 9000 を使用して ERSPAN を確立できない |
|
|
ASA および Putty:着信パケットが復号化時に文字化けした |
|
|
ASA backup コマンドがアイデンティティ証明書のバックアップに失敗する |
|
|
Firepower 9300 スタンバイがアクティブ時に高 CPS トラフィックにより一括同期状態でスタックする |
|
|
スレッド名 CP Processing での ASA のトレースバック |
|
|
ASA 9.8.2 クラスタ サーバー ユニットがクラスタの参加と SNMPv3 同期時にトレースバックする |
|
|
ASA モジュールと REST API の両方が有効になっている場合の 5506 トレースバック |
|
|
アクセスグループ設定の削除後に FQDN オブジェクトが解決される |
|
|
x-auth-token を REST API に使用するとユーザー名と権限の表示が不正になる |
|
|
SIP インスペクション処理に関連するトレースバック |
|
|
スタンバイ ユニットへのフェールオーバー時に ASA がトレースバックする |
|
|
REST-API が特定のクエリに対して空の応答を返す |
|
|
プライマリ ユニットの新しい証明書設定がアクティブ/アクティブ セットアップのスタンバイ ユニットに同期しない |
|
|
Cisco 適応型セキュリティ アプライアンスにおけるサービス拒否攻撃に対する脆弱性 |
|
|
Cisco 適応型セキュリティ アプライアンスにおけるサービス妨害の脆弱性 |
|
|
Cisco 適応型セキュリティ アプライアンスにおけるサービス拒否攻撃に対する脆弱性 |
|
|
スレッド名 CTM メッセージ ハンドラーで ASA が断続的にトレースバックする |
|
|
ASA インターフェイス IP とサブネット マスクが 0.0.0.0 0.0.0.0 に変更されるため、インターフェイス上のサービスが停止する |
|
|
スレッド名 Unicorn Proxy Thread で ASA がトレースバックする |
|
|
BVI を使用したルーテッド ASA での Skinny インスペクションで SCCP フォンが SCCP コールを登録または拒否できない |
|
|
DHCP GIADDR フィールドの IP アドレスが DHCP DECLINE を DHCP サーバーに送信した後に反転する |
|
|
スレッド名 fover_parse で ASA がトレースバックする |
|
|
DHCP 送信中の ASA が DHCP を介して AC クライアントへのアドレスの割り当てを拒否するか、または割り当てない |
|
|
ASA5500 シリーズのファイアウォールのアップグレードによりブート ループが発生する(ROMMON を通過できない) |
|
|
9.6.3.1 上で ASA がトレースバックし、ブート ループの状態になる |
|
|
相手側の 9.2(4)27 からの複製時にスタンバイ ASA がトレースバックする |
|
|
Cisco 適応型セキュリティ アプライアンスのアプリケーション レイヤ プロトコルのインスペクションにおける DoS に対する脆弱性 |
|
|
ベンダーのべき剰余の実装内で KP が不正なメモリ アクセスをトレースバックする |
|
|
ASDM の RADIUS 認証/許可が失敗する |
|
|
[ASA]:マスター エージェントがマルチコンテキスト モードのスタンバイ デバイスでユーザーを見落とす |
|
|
WebVPN:Confluence アプリケーションと Jira アプリケーションでの複数のレンダリングの問題 |
|
|
デフォルト以外の SSL コマンドがリブート時に Firepower 4100 から削除される |
|
|
リブートしたフェールオーバー ペアへの切り替え後に vpn-idle-timeout がトリガーされない |
|
|
ASA:スレッド名 UserFromCert でのトレースバック |
|
|
ASA での CWS リダイレクションが特定の状況で SSL Client Hello の再送信を適切に処理しない |
|
|
Cisco 適応型セキュリティ アプライアンスの WebVPN におけるサービス拒否攻撃に対する脆弱性 |
|
|
DATAPATH がコンパイル中の ACL 構造体にアクセスするとウォッチドッグのタイムアウトにより ASA がトレースバックし、リロードする |
|
|
VPN コンテキストのスピン ロックの解放中に ASA 9.7.1.15 がトレースバックする |
|
|
IKEv1 RRI:応答専用のリバース ルートがフェーズ 1 のキー再生成中に削除される |
|
|
IKEv2 が Tunnel Manager のエントリをスタックさせる |
|
|
WebVPN リライター:BMC Remedy でドロップダウン メニューが機能しない |
|
|
ASA カットスルー プロキシでユーザーは Web サイトにアクセスできるが「authentication failed」が表示される |
|
|
キャプチャを削除した後でも、「ERROR: TRACER: NP failed tracing packet」でパケット トレーサが失敗する |
|
|
ASA が「show memory」出力の下に正確な空きメモリを報告しない |
|
|
snmpv1&2c ホスト グループが設定されていると snmpwalk を実行できない |
|
|
ASA:リブート後に dns expire-entry-timer 設定が表示されなくなる |
|
|
ASA:ダイナミック暗号マップを持つ IKEv2 S2S VPN:ASP テーブルが正しくプログラムされない |
|
|
IKEv1 RRI:発信専用のリバース ルートがフェーズ 1 のキー再生成中に削除される |
|
|
nteface shutdown コマンドが HA で複製されない。 |
|
|
webvpn でのメモリ リーク |
|
|
フェールオーバー後のゼロ化 RSA キーにより REST API がシステム コンテキストへの変更に失敗する |
|
|
ASAが TCP 代行受信出力の 100% レートをはるかに超えている |
|
|
PIM 自動 RP パケットがクラスタ マスターのスイッチオーバー後にドロップされる |
|
|
スタンバイ ASA が NTP サーバーに NTP パケットを送信していない |
|
|
ASA 9.6(4):WebVPN ページが正しくロードされていない |
|
|
ASA:netsnmp:Snmpwalk がホストグループの一部の IP グループで失敗する。 |
|
|
デバイスがそれ自体をクラスタから削除すると不正な更新が実行される |
|
|
Cisco Firepower 2100 シリーズ POODLE TLS セキュリティスキャナのアラート |
|
|
ASA ロットの「PPPoE daemon not configured」メッセージがコンソールに出力される |
|
|
ASA が DATAPATH スレッドでトレースバックを生成する |
|
|
多数のインターフェイスと QoS により「show service-policy」の出力時に ASA がトレースバックする |
|
|
FIPS モードの TLS では、ASA 自己署名 RSA 証明書が許可されない |
|
|
pki ハンドル:増加し、減少しない |
|
|
ASA が「any」キーワードが設定されている ACL で IPv6 トラフィックを正しく照合しない |
|
|
show tech からの show environment 出力が不完全 |
|
|
証明書チェーンの設定を再適用すると、ローカル CA TP のステータスが「Not Authenticated」と表示される |
|
|
ASA は MOBIKE に応答するが、DPD が原因で SA をクリアする。 |
|
|
ASA PKI OCSP 障害:CRYPTO_PKI:OCSP 応答データの復号化に失敗した |
|
|
トレースバック:スレッド名:IPsec message handler |
|
|
ASA DHCP を使用した Firepower 2110 が正常に動作しない |
|
|
FPR 2100 ASA の原因不明のトレースバック |
|
|
TrustSec SXP 削除 ホールド ダウン タイマーの値を設定する必要がある |
|
|
ScanSafe 機能が HTTPS トラフィックに対してまったく機能しない |
バージョン 9.8(2) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
ASDM:ACE に 1 つのポートがある場合でも、送信元ポートが表示されない |
|
|
ASA/FTD lina Heimdal Kerberos コードの脆弱性を解決する |
|
|
OpenLDAP をアップグレードするか、またはASA/FTD lina プロセスでパッチを適用する必要がある |
|
|
ASA が「logging permit-hostdown」を使用して新しい接続をブロックし、TCP syslog がダウンしている |
|
|
GCM 暗号が使用されていると TLS CTP が TLSv 1.2 で機能しない |
|
|
show ospf コマンドを実行中にスレッド名 ci/console で ASA がトレースバックする |
|
|
FTP データ接続のスケーリングがダイナミック PAT で失敗する |
|
|
スプリット DNS 値の 255 文字を超えてサポートする |
|
|
2016 年 5 月の OpenSSL の pix-asa の評価 |
|
|
有効な ARP エントリが利用可能であっても、ASA が「novalid adjacency」でパケットをドロップする |
|
|
クラスタスレーブに OSPF マルチキャスト フィルタ ルールがない |
|
|
NGFW CLI の「'show tech-support」に SNORT データがない |
|
|
snp_fp_qos での 9.7.1 のトレースバック |
|
|
Threat Defense を実行している ASA 5500-x および 2100 デバイスでデフォルトの検査ステートメントが欠落している |
|
|
「no vpnclient enable」の入力後、EZVPN NEM クライアントが再接続できない |
|
|
ASA:異なるインターフェイスにより明確なルートが存在する場合にインターフェイスベースのルートルックアップが適切でない |
|
|
ENH:ASDM AnyConnect IKEv2 ウィザードから DES と3DES を削除する |
|
|
スケジューラ破損の問題に対する検出と自動修正の機能を実装する |
|
|
TCP が syslog のトランスポートプロトコルとして使用されるとログが失われる |
|
|
CEP レコードの編集ページのロードに時間がかかる |
|
|
ASA が長時間起動した後にフラッシュが読み取り専用になる問題をトラブルシューティングするためのデバッグを実装する。 |
|
|
981 VTI:状態変更後の BGP ネイバー形成が遅い |
|
|
PSB 要件 SEC-HTP-HSTS.x4i:HTTP Strict-Transport-Security ヘッダー |
|
|
ASA 1550 ブロックの段階的な枯渇 |
|
|
WebVPN を介して gzip 圧縮が機能しない |
|
|
ASA が IPv6 MLD クエリに応答しない |
|
|
ASA:単一のコマンド内に 9 個を超えるプロポーザルが設定されていると IKEv2 ipsec-proposal コマンドが削除される |
|
|
VTI:一部のセッションが vpn-sessiondb からクリアされない |
|
|
TCP プロトコルを使用した syslog ロギング メッセージの実行が遅い |
|
|
IP フォンが VPN トンネルの背後にあると ASA TCP SIP インスペクションの変換が機能しない |
|
|
マルチコンテキスト モードでのインターフェイス設定中のエラー |
|
|
ループを使用した running-config へのコピーが理由を示さずにボックスをリロードする |
|
|
ASA IKEv1:INVALID_ID_INFO Notify にゼロ以外の SPI を設定する |
|
|
EZVPN クライアントでの「Thread Name: IPsec message handler」でのトレースバック |
|
|
インターフェイス変更時のトレースバック。Interface_action でのアサート |
|
|
ASA が誤って syslog ID 201011 をトリガーする |
|
|
インターフェイス設定と NAT をクリアするとクラッシュする |
|
|
スレッド名 DATAPATH でのトレースバック |
|
|
EtherChannel:無効になっているインターフェイス上の古いネイバーの SYSTEM ID が 5585-60 LACP の状態に表示される |
|
|
9.6.2 DHCPRA:最大リレーバインディング数(500)を超過した |
|
|
仮想トンネル インターフェイスを通じて暗号化されたパケットに送信元 MAC 0000.0000.0000 がある |
|
|
コマンド「debug menu ike-common 11」を入力した後に ASA がクラッシュする |
|
|
ジャイアント オブジェクト グループ(display_hole_og)を使用してアクセスリストを保存/表示しようとするとトレースバックする |
|
|
9.5.1 以上の ASAで managment0/0 を src-ip として使用すると SXP ソケットを表示しない |
|
|
リマーク表示中に実行中の「show access-list」のスレッド名 idfw_proc で ASA がトレースバックする |
|
|
設定を保存/表示すると時間範囲の ACL により ASA がトレースバックする |
|
|
クラスタ内の ASA によりマスターとスレーブ間のユーザーグループマッピングが適切でなくなる |
|
|
PBR が設定されている場合に ARP スレッドで ASA がトレースバックする |
|
|
Web フォルダのファイルブラウザ アプレット コードの署名証明書に期限が切れている |
|
|
ESXi vCenter 6.5 での ASAv の導入中に発生したエラー |
|
|
時刻を指定して再アクティブ化モードが設定されているセカンダリ LDAP サーバーへの接続にASA が失敗する |
|
|
ASA:多くの DNS クエリを使用するとメモリリークが遅くなる |
|
|
Threat Defense DHCP クライアントが拒否ではなく DHCP アドレスを要求しようとする |
|
|
SRIOV/IXGBE-VF ではサブインターフェイスがサポートされていない |
|
|
tcp-options md5 allow が tcp-options md5 clear としてスレーブユニットにプッシュされる |
|
|
ASA ポリシーマップ設定がクラスタのスレーブに複製されない |
|
|
アクセスグループの変更中に ASA がアサートのトレースバックを生成することがある |
|
|
WebVPN プロセスの設定によるトレースバック |
|
|
DNS サーバーがサイト間 IPSec トンネルを通じて DNS サーバーに到達可能な場合に ASA ローカル DNS 解決が失敗する |
|
|
ECMP を持つ FTD OSPF で、既存の接続に対してダウン状態のピアにパケットが送信される |
|
|
セキュリティコンテキストで SNMP イベントトラップを生成できない |
|
|
Cisco 適応型セキュリティアプライアンスにおける認証済みクロスサイト スクリプティングの脆弱性 |
|
|
ASAv5 の rest-agent に割り当てられるメモリを増やす |
|
|
設定されたキャプチャを削除しようとすると ASA がトレースバックする |
|
|
9.1.5 から 9.4.3 へのアップグレード実行中にスレッド名 fover_parse で ASA がトレースバックする |
|
|
SIP インスペクションによりデータパスで ASA のトレースバックが確認される |
|
|
フェールオーバーペアのスタンバイユニットがアクティブに切り替えられない |
|
|
1 GB よりも大きなメモリを使用した ASAv5 の動作が許可されている |
|
|
ASAv5:DMA パケット メモリを 64 MB に低減する |
|
|
WebVPN が IE に IE8 モードを使用するように強制する |
|
|
ASA981 Beta:asp load-balance の出力が show run と show run all に一致しない |
|
|
ユニコーンプロキシスレッドでの ASA のトレースバック |
|
|
モード転送を使用したトランスフォームセットがダイナミックマップの 11 番目の場合に L2TP/IPsec が失敗する |
|
|
LAN 間 VPN によりスレッド名 DATAPATH でトレースバックする |
|
|
FTD:連続的な SSL トラフィックと復号化最初名が有効になっている状態でブロックが枯渇する |
|
|
フェールオーバーの同期時に FTD のトレースバックが確認される。 |
|
|
ASA/FTD がパケット キャプチャの「trace」出力に誤った結果を表示する |
|
|
内部ブックマーク サイトのインタラクティブアイコンが正しく表示されない(+CSCO+0undefined) |
|
|
ASA がタイプ TXT の追加 RR のみを含む DNS 応答をドロップすることがある |
|
|
顧客が AnyConnect に認証されると ASA がトレースバックする |
|
|
ISA 3000:show tech に show inventory を含める必要がある |
|
|
BGP のルート集約(auto-summary)とルートアドバタイズメントでの ASA の問題 |
|
|
SFR バックプレーンが ASA 内部アドレスではなく、ポリシー照合のためのパブリックアドレスをプルしている |
|
|
SSH NLP NAT のプロキシ ARP 情報がフェールオーバー時に FTD で更新されない |
|
|
FirePOWER サービスを搭載した ASA モジュールがトレースバックとリロードを生成する |
|
|
出力インターフェイスがダウンしているときのトラフィックの転送にブラックホールではなく CCL を使用する必要がある |
|
|
ASAv Azure:ASAv30 で 750 の VPN セションが許可されている |
|
|
クラスタに参加し、スレーブとしてアクティブな間に ASA がリロードした |
|
|
ヒットレスアップグレード時に異なるマイナーバージョン間でルートが正常に同期されない |
|
|
CSCvd41423 の後の不正な KU により CRL の確認が失敗する |
|
|
トレースによるキャプチャとキャプチャのクリアによるメモリリーク |
|
|
マルチコンテキストで、インターフェイス PAT を使用している場合に特定のポートから送信されたトラフィックを ASA がドロップする |
|
|
ASA:アクティブ FTP が NAT の拡張キーワードでは動作しない |
|
|
CSM を使用したロールバック機能をサポートする ASA のクラスタリング |
|
|
ルート上での設定の追跡により、ASA のアップグレードが有効な隣接関係なしになる |
|
|
ASA:マルチキャストパケットがコード 9.6.3 以降ドロップされる |
|
|
データパス内で ASA のトレースバックが確認される |
|
|
クライアントレスポータルに証明書マップが使用されている場合にユーザー名が証明書から取得されない |
|
|
Cisco 適応型セキュリティアプライアンスの WebVPN クロスサイト スクリプティングの脆弱性 |
|
|
アップグレード後に ASA SNI 接続が失敗する:共有暗号なし |
|
|
9.6.3.1 で「activate-tunnel-group-scripts」が使用できない |
|
|
CSCOGet_origin ラッパーがロケーションオブジェクトに属している場合は「origin」プロパティを処理しない |
|
|
「hostscan data-limit」サービス内コマンドを公開し、文書化する必要がある |
|
|
ICMP 到達不能(PMTU)がドロップされ、「Routing failed to locate next hop」が表示される |
|
|
ルートがないために自動 RP パケットがドロップされる:ホストへのルートなし |
|
|
FXOS シャーシ上の ASA アプリケーションで BTF が停止するが、スマートライセンスにはこの機能が有効であると表示される |
|
|
アクセスリスト設定の表示時または実行コンフィギュレーションの保存時に ASA がトレースバックすることがある |
|
|
スマートライセンスの ID 証明書の更新の失敗で製品インスタンスの登録が解除されてはならない |
|
|
ASDM がオブジェクトの説明を表示しない |
|
|
ASA 上の CUCI Lync バージョン 11.6.3 でコールが動作しない |
|
|
フェールオーバーは有効になっているが他のデバイスが到達不能の場合に AnyConnect の証明書認証と定期証明書認証が失敗する |
|
|
ASA:PAT プールソケットの割り当て時に DATAPATH でトレースバックする |
|
|
ASA が l2tp クライアントからのリターントラフィックの宛先 Mac アドレスを破損させる |
|
|
まれに network_udpmod_get が shr_lock を解放しない |
|
|
SSL レコード長の確認が remove pad length 関数にない |
|
|
FIPS モードが有効な状態で ASA がリロードした後に ASA インターフェイスがトラフィックの受け渡しを停止することがある |
|
|
設定時の CPU Hog CI_CONSOLE でのトレースバック |
|
|
UDP/4500 を使用した OSPF over IPSec を介して学習したルートを ASA がインストールしない |
|
|
リロード時に「NSF IETF/CISCO」コマンドが削除される |
|
|
ASA:FW を通過するための IPv6 プロトコル X ルールが無効な IP 長メッセージを持つパケットをドロップしている |
|
|
ASA の 9.5(3) 以降のすべてのバージョンで、ASDM 上での AnyConnect の新規カスタマイズの作成が失敗する |
|
|
SFR リダイレクションが有効になっている場合に、ICMP 到達不能タイプ 3 コード 4 を ASA が誤った方向に送信する |
|
|
FTD 診断インターフェイスが br1 管理サブネットの ARP をプロキシする |
|
|
最大シーケンス番号を持つ OSPF の不正 LSA の脆弱性 |
|
|
スレーブが稼働している間、マスターのインターフェイスステータスを「init」と報告する |
|
|
クラスタ内のカット スルー プロキシに取得したダウンロード可能な ACL がスレーブ上でダイナミックとしてマークされない |
|
|
ASA のメモリリーク:RSA ツールキット |
|
|
ASA への SSH 接続が SLA モニタリングと非ゼロのフローティング接続のタイムアウトで失敗する |
|
|
「service resetoutside」がすべてのインターフェイス上の to-the-device トラフィックに影響を与え、スタンバイ時に異なる動作をする |
|
|
サービスオブジェクトで範囲を設定すると、ASDM が「service tcp destination eq-1」としてサービスを設定する |
|
|
AWS の ASAv:バイナリを 9.8.1 にアップグレードすると ASAv に到達できない |
|
|
VPN VLAN のマッピングの問題 |
|
|
ASA:crypto_SSL 関数のスレッド名 Datapath でトレースバックする |
|
|
ASA 9.5.1 以降、管理インターフェイスではなく、トラフィックが誤ってルーティングされる |
|
|
ASA クラスタ:PAT プールを使用したクラスタリンクで UDP がループする可能性がある |
|
|
TCP syslog サーバーのダウン時に偽の IP データで ASA ログメッセージ 414003 が生成されることがある |
|
|
PBR のネクストホップがインターフェイスアドレスの場合に ASA 2048 ブロックが枯渇する |
|
|
ASASM:インターフェイス VLAN がリロード後に admin down になる |
|
|
[Dynamic Access Policies] ページが凍結されており、HS イメージのアンインストール後はアクセスできない |
|
|
AWS で ASA のアップグレードオプションとして 9.8.1 が提供されない |
|
|
ASDM でトランスペアレントモードのインターフェイスごとに複数のスタティック MAC アドレステーブルエントリを使用できない |
|
|
FTD:マルチキャストと BPDU トラフィックが dst-l2_lookup-fail でドロップされる |
|
|
webvpn-l7-rewriter:WebVPN ポータルを介した Jira 7.3.0 のログインページが完全に表示されない |
|
|
syslog サーバーが VPN トンネルを介して到達可能な場合にロケーション「snp_fp_encrypt」でメモリリークが発生する |
|
|
ASA WebVPN リライターの問題。クライアントレス VPN を介して Web サイトのタブを参照できない |
|
|
ASA5506/5508/5516 で IPSec が起動せず、1,000 を超える IPSec SA カウントでフラップする |
|
|
ダイナミック ルーティング プロトコルのルートマップで使用されるプレフィックスリストの削除を要求する ASDM エラー |
|
|
websns_rcv_tcp で ASA がトレースバックする |
|
|
フローブロックイベントの起動でイニシエータのバイト数が正しくない |
|
|
ENH:KVM AHV Nutanix にインストールされると ASAv がブート アップできない |
|
|
ASDM Where Used オプションで結果が表示されない |
|
|
WebVPN によるユニコーンプロキシスレッドでのトレースバック |
|
|
ASA/9.6.3//WebVPN スマートトンネルは機能するが、イベントビューアを使用して Windows をフラッディングする |
|
|
ASA WebVPN リライター:WebVPN ブックマークの scholar.google.com が正しく記述されていない |
|
|
ネットワーク接続が 19 を超えるコンテキストに対して有効にならない |
|
|
9.7 以降のコードでマスターになるとシャーシがリロードされた後、ASA でコンテキストが欠落する |
|
|
インターフェイス IP と宛先が重複するとスタンバイ ASA が NAT を拒否し、アクティブがこれを許可する |
|
|
9.8(1) への ASA フラッシュ ポストのアップグレードに SCP を介して AnyConnect イメージをコピーできない |
|
|
ダイナミックサイト間トンネルに関連付けられた暗号マップを編集すると ASDM がハングする |
|
|
SP2013 では MS Office アプリを使用して新しいドキュメントを作成/編集できない |
|
|
NAT ルールの変更時とパケットキャプチャが有効になっているときの ASA with Firepower Services でトレースバックが発生する |
|
|
フラッシュ仮想化機能を最大 250 コンテキストまで拡張できない |
|
|
ドメインルックアップが有効な場合に CDA エージェントが「プロービング」でスタックする |
|
|
3 回目のフェールオーバー後に ASA OSPF インターフェイスが DOWN の状態(NSF を待機中)でスタックする |
|
|
ASDM AC ダウンロードで 2 番目のパスワードを編集しても、ASA 9.8.1 以降ではその変更が無視される |
|
|
HTTP 引数フィールドが正規表現に対応していない |
|
|
SNMP 設定追加後に ASA でポートが予約されていない |
|
|
ASA:暗号アクセラレータがループでトレースバックする |
|
|
TLS 1.2 の暗号セキュリティレベルが「medium」の場合、ASDM が暗号アルゴリズムを正しく表示しない |
|
|
トレースバック:フローエクスポート アクションでのホスト エントリの重複によりポリシー展開後にクラッシュする |
|
|
AnyConnect プールから送信されたマルチキャスト トラフィックがチェック済みのリバースパスによりドロップされる |
|
|
ASA-5-720012:(VPN - セカンダリ)ASA クラスタ環境で IPSec フェールオーバー ランタイム データを更新できない |
|
|
IKEv2 リモート アクセス クライアントのセッションが削除状態でスタックする |
|
|
アクティブユニットに SSH 接続できない//TCP 接続の上限を超えている |
|
|
SAML 2.0 || (5525) 9.7.1 ASA:ASA コンパイラが SAML 認証のサインイン URL を取得していない |
|
|
SSH/SNMP が「clear conf int」を付与した後、トランスペアレント モードで動作しない |
|
|
ASAv:Hyper-V Windows Server 2012-R2 にインストールした場合の 9.7.1.4 と 9.8.1 へのアップグレードの問題 |
|
|
ASA:SNMP ホストグループがマルチコンテキスト設定の必要に応じて動作していない |
|
|
DATAPATH - snp_vpn_process_natt_pkt で ASA5585 が トレースバックする |
|
|
PKCS12s で ASA にインポートされる EC 証明書が SSL に使用できない |
|
|
DCD が有効になっている場合に ASA 接続がアイドル状態でスタックする |
|
|
Port Manager デバッグ ファイルの portmgr.out に不完全なタイムスタンプが含まれている |
|
|
バージョンアップ後に ASA が fover_parse でクラッシュする |
|
|
Azure-HA:「clear configure failover」がピア IP アドレスをクリアせず、ASAv をクラッシュさせる場合がある |
|
|
ウォッチドッグプロセスでのトレースバック |
|
|
ASA 9.x:DNS インスペクションによって PTR クエリに「0」が追加される |
|
|
iOS および OS X IKEv2 のネイティブクライアントが EAP-TLS を使用して ASA に接続できない |
|
|
回帰の実行中にクラスタ インターフェイス上で「[no] nameif」コマンドを使用して ASA がクラッシュする |
|
|
TLS バージョン 1.1 の接続に失敗し、t1_lib.c:3106 に共有署名アルゴリズムなし |
バージョン 9.8(1.200) で解決済みのバグ
このリリースのどのバグも解決されていません。
バージョン 9.8(1) で解決済みのバグ
次の表に、このリリースノートの発行時点で解決済みのバグを示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
ASA が「logging permit-hostdown」を使用して新しい接続をブロックし、TCP syslog がダウンしている |
|
|
ASA:ユニットがクラスタに再参加した後の SNMPv3 ポーリングの認証失敗 |
|
|
ASA が TCP パケットを PAWS 障害として誤って分類する |
|
|
ASA:ASP テーブルのルーティングに int. がないため、ボックストラフィックが中断する |
|
|
9.1.5.19 での ASA トレースバック |
|
|
ASA での CWS リダイレクションにより HTTPS トラフィックのシーケンス番号が破損することがある |
|
|
トレースバック:スレッド名 fover_health_monitoring_thread で ASA がクラッシュする |
|
|
http_header_by_name のユニコーンプロキシスレッドでのトレースバック |
|
|
ASA:インターフェイスを接続していない状態でプロトコルとステータスが表示される |
|
|
しばらくしてからフラッシュ操作が失敗し、設定を保存できない |
|
|
マルチキャストルーティングが無効な状態で ASA が予期しない syslog メッセージを生成する |
|
|
クライアントからの接続解除後に IPSec を介して L2TP を接続できない |
|
|
ユニコーンプロキシスレッドにより CP 競合が発生する |
|
|
フェールオーバー後にリンクローカル アドレスの重複が確認される |
|
|
AnyConnect DTLS オンデマンド DPD が断続的に送信されない |
|
|
クラスタスレーブに OSPF マルチキャスト フィルタ ルールがない |
|
|
SCTP インスペクションによりデータパスで ASA ASSERT がトレースバックする |
|
|
ASA:複数のコールで同じメディアポートが使用されていると PAT を使用した SIP コールがドロップされる |
|
|
OSPFv3/IPv6 フラッピング (ASA クラスタと4500の間の30分ごと) |
|
|
H323 インスペクションを使用した CP プロセスでのトレースバック、rip h323_service_early_msg |
|
|
MPF 変更中の CLI スレッドでの ASA トレースバック |
|
|
IKEv2 RA 証明書認証。新しいセッションを割り当てることができない。最大セッション数に到達した |
|
|
NAT が一致したときに ASA から DHCP 検出パケットをリレーできない |
|
|
サーバーが tls-proxy にある場合に ASA が TLS1.2 をネゴシエートする |
|
|
ポートチャネル インターフェイスでフェールオーバー記述子が更新されない |
|
|
応答パケットへの応答で ICMP エラー パケットがドロップされる |
|
|
ASA:IKEv1/IKEv2 を有効にすると RADIUS ポートが開く |
|
|
ASR9000 BGP グレースフルリスタートが予期したとおりに動作しない |
|
|
AnyConnect セッションが L2TP Uauth セッションのスタックにより接続できない |
|
|
ASA クラスタ DHCP リレーがサーバー応答をクライアントに転送しない |
|
|
トレースバックでクラスタから ASA 5585-60 がドロップされている |
|
|
DP-CP キューでのエンキュー障害が検査された TCP 接続を失速させることがある |
|
|
SIP:ルートからのアドレス:ヘッダーが正しく変換されない |
|
|
H.323 インスペクションによりスレッド名 CP Processing でトレースバックが発生する |
|
|
内部 ATA Compact Flash サイズが「show version」に正しく表示されない |
|
|
スレッド名 DATAPATH での ASA ページ障害のトレースバック |
|
|
DCERPC インスペクションによるスレッド名 CP Processing での ASA トレースバック |
|
|
スレッド名 NIC status poll での ASA 9.1.7-9 のクラッシュ |
|
|
DNS インスペクションが有効になっている場合に IPv6 DNS パケットの形式が不正になる |
|
|
WebVPN リライターが matterport.com で失敗する |
|
|
CSCup37416 に対する修正にもかかわらず、古い VPN コンテキスト エントリにより ASA がトラフィックの暗号化を停止する |
|
|
ポリシーベースのルーティングが有効な状態で ASA が DATAPATH トレースバックを生成することがある |
|
|
ASA のマルチコンテキスト SNMP PAT インターフェイスが欠落している |
|
|
Cisco ASA 署名検証によりブート時にデジタル署名テキストを誤って解釈する |
|
|
Cisco ASA の削除により SB 以外のハードウェアでセキュアなブート コマンドを誤って解釈する |
|
|
ASA PKI OCSP 障害:CRYPTO_PKI:OCSP 応答データの復号化に失敗した |
|
|
Cisco ASA プラットフォームで NFS スループットレートが低下する |
|
|
NLP 情報が IPv6 のコマンドに表示される |
|
|
ユーザーが手動でログアウトした場合に ASA が認証セッション終了ログを送信しない |
|
|
GTPv2 がインスタンス 1 のハンドオフをドロップしている |
|
|
Checkheaps スレッドでの ASA トレースバック |
|
|
スレッド名 aaa_shim_thread での ASA トレースバック |
|
|
Cisco ASA ソフトウェアと Cisco FTD ソフトウェアの TCP の正規化におけるサービス攻撃に対する脆弱性 |
|
|
自動更新スレッドで ASA トレースバックが確認された |
|
|
2016 年 9 月の Openssl の pix-asa の評価 |
|
|
v2 ハンドオフのコールフロー後に Delete Bearer Req が 2 番目のデフォルトベアラーを削除できない |
|
|
ISE への送受信の際に ASA 上の CoA によりトレースバックがトリガーされる |
|
|
IKEv2:クライアントからの接続後に セッションがクリアされない |
|
|
スレッド名 rtcli での ASA のトレースバック |
|
|
RADIUS 認可要求が着信側ステーション ID の属性を送信しない |
|
|
SIP トラフィックによるフェールオーバー時の lina コア |
|
|
viewer_dart.js ファイルが正しくロードされない |
|
|
マスター変更後に OSPF が継続的にフラップする(L2 クラスタ、マルチコンテキスト) |
|
|
OSPF ルートの問題によりフェールオーバー後に VPN トンネルが失われる |
|
|
スレッド名 emweb/https での ASA トレースバック |
|
|
ASA:マルチコンテキスト ファイアウォールの使用済みメモリの計算に相違がある |
|
|
サイト IP アドレスを使用したマルチサイトクラスタで ASA により GARP フラッドが実行される |
|
|
EIGRP:帯域幅を拡張したときに多数のエラー処理を追加する必要がある |
|
|
オブジェクトグループ検索の冗長サービス グループ オブジェクトが誤って削除される |
|
|
L2TP を介して 9.6.2 TCP 接続が機能しない |
|
|
時間範囲により拒否された場合の IKEv2 での AAA セッションハンドルのリーク |
|
|
OS 9.1.6 から 9.4.3 へのアップグレード時のスレッド fover_parse での ASA-SM のトレースバック |
|
|
ASA によるクライアントのマルチキャストパケットの宛先 MAC アドレスの書き換え頻度がかなり低い |
|
|
URL での webvpn_state クッキー情報の開示 |
|
|
スレッド名 IKE Daemon での ASA のトレースバック。 |
|
|
SCP が 962で失敗する |
|
|
マルチコンテキストモードで設定された TCP syslog を使用して ASA がトラフィックをドロップしている |
|
|
ASA:パケットトレーサツールの XML 出力に ACL の注釈が正しく表示されない |
|
|
「no vpnclient enable」の入力後、EZVPN NEM クライアントが再接続できない |
|
|
4GE-SSM RJ45 インターフェイスがインターフェイスの「rate limit drops」によりトラフィックをドロップすることがある |
|
|
v1 PDP が IE 障害の解析時に削除されることがある |
|
|
ASA:CSCuu48197 に対する修正にもかかわらず stuck uauth エントリが AnyConnect 接続を拒否する |
|
|
webvpn-l7 リライター:5515 9.1.6 コンテンツ書き換えの問題(ASA Web ブックマークの場合) |
|
|
WebVPN:内部ページのログインボタンがリライター経由で機能しない |
|
|
フェールオーバー レプリケーション レート制限の上限が矛盾している |
|
|
書き換え時にラベル長を超えたため ASA が DNS PTR リレーをドロップする |
|
|
クラスタ ASA は「inspect-icmp-seq-num-not-matched」という理由で to-the-box ICMP 応答をドロップする |
|
|
ASA が誤った ACL と有効状態のオブジェクトグループ検索を照合する |
|
|
NOTIFY に埋め込まれている場合に ASA SIP インスペクションによる 200 OK の送信が遅延することがある |
|
|
ASA IKEv2 RA VPN が「No License」ステータスを AnyConnect ユーザーに明確には通知しない |
|
|
ASA クラスタの仮想 IP で SNMP ポーリングが実行されると誤った動作になる |
|
|
ASA:IKEv2 によるメモリリーク |
|
|
RDP プラグイン接続がエラーで失敗した |
|
|
PLR:ASAv が無効な予約コードを生成する |
|
|
ASA DHCP リレーに代行受信 DHCP 機能との互換性がない |
|
|
ASA クラスタの TCP/SSL ポートが LISTEN 状態に表示されない |
|
|
ASA が証明書マップに複数の属性エントリを追加できない |
|
|
スケジューラ破損の問題に対する検出と自動修正の機能を実装する |
|
|
WebVPN 実行中に ASAv がクラッシュすることがある |
|
|
事前入力機能が二重証明書(cert 2-user)に対して誤った証明書(cert 1-machine)からユーザー名を抽出する |
|
|
EC に負荷がかかっている状態で ASA が SSL VPN セッションの確立に失敗する |
|
|
9.6.2:AnyConnect IKEv2 パフォーマンステスト時のトレースバック |
|
|
ASA マルチコンテキストで到達不能な TCP syslog と logging permit-hostdown のセットへの新しい接続が許可されない |
|
|
ASA-SM 9.5.2 inspect-sctp ライセンスが既存の導入を中断する |
|
|
スレッド名 sch_syslog での ASA のトレースバック |
|
|
DSCP マーキングが IPSec カプセル化を使用した外部 IP ヘッダーにコピーされない |
|
|
WebVPN CIFS での Cisco ASA ヒープのオーバーフロー |
|
|
MIB オブジェクト cempMemPoolHCUsed が表示されなくなる |
|
|
ASA:OspfV3 ルートがインストールされない |
|
|
AnyConnect が表示されると ASA ポータルが複数コンテキストが設定されていることを公開する |
|
|
クラスタユニットのリブート後に SNMPv3 ユーザーの同期がエラーになる |
|
|
SNMP ポーリングの使用時の CloneOctetString での ASA のメモリリーク |
|
|
ACL と NAT テーブルのコンパイルの速度向上の実装 |
|
|
Firepower Threat Defense(FTD)IKEv2 NAT-T が再起動後に無効になる |
|
|
クライアントレス WebVPN の ASA とバックエンド サーバー間で SSL 接続がハングする |
|
|
FirePOWER モジュールを搭載した ASA がトレースバックを生成してリロードするか、プロセスが実行しない原因となる |
|
|
ASA がマルチコンテキスト モードの場合に外部 DHCP サーバーを使用した AnyConnect アドレスの割り当てが失敗する |
|
|
ASA クラスタリング:9.6.2 の SPAN が設定されたポートチャネル インターフェイスで MAC アドレス コマンドが無視される |
|
|
フラグメント化されたトラフィックでの FTD クラスタの 9K ブロックの枯渇 |
|
|
forward-reference enable が設定されている場合に ASA がアクセスリストを動的に更新しない |
|
|
デフォルトの WebVPN グループにランディングする接続について WebVPN ポータルが正しく表示されない |
|
|
ASA インスペクション MPF の ACL の変更が正しい順序で ASP テーブルに表示されない |
|
|
ASA がスレッド名 Unicorn Admin Handler でトレースバックすることがある |
|
|
アクティブ/スタンバイ ASA フェールオーバーペアでアクティブユニットをリロードしてもフェールオーバーをトリガーしない |
|
|
ASA:IPSec SA の起動に失敗した |
|
|
L2L セットアップで IKEv2 ハンドルがリークする |
|
|
ASA が誤ってラッパーの負の数値を処理し、結果としてグラフィカル WebVPN の問題が発生する |
|
|
SIP:複数のセグメントを持つ 200 OK メッセージが正しく再構築されない |
|
|
ASA L3 クラスタ:非対称ルーティングの場合に DHCP リレーが DHCPOFFER をドロップする |
|
|
失敗した試行後の CTP がユーザー名とともにドメインを送信する |
|
|
RDP プラグインの activex 全画面オプションが ASA 9.6.2 バージョンでは使用できない |
|
|
到達可能性がダウンしている間にトラッキングルートが起動しない |
|
|
ASA クラスタスレッド名 qos_metric_daemonでのトレースバック |
|
|
クラスタの gtpv2_process_msg でトレースバックが確認された |
|
|
BGP の BFD サポートコードが tcp/udp 3784 と 3785 を開いてアクセスリストをバイパスする |
|
|
AnyConnect IPv6 DTLS ストレス シナリオとの network_tcpmod_close_conn で ASA がトレースバックすることがある |
|
|
rest-api が有効になっている状態のクラスタ設定の同期時の ASA ウォッチドッグのトレースバック |
|
|
ASA NAT プールが正しく更新されない |
|
|
スクリプトユーザーに SSH パブリック認証を設定できない |
|
|
mac address auto コマンが ASA5585-X でデフォルトのプレフィックス 1 を使用する |
|
|
スレッド名 Datapath での ASA のトレースバック |
|
|
ASA が IPv6 MLD クエリに応答しない |
|
|
トレースバック:ASA 9.5(2)11 クラッシュアクティブ |
|
|
設定の同期の失敗時の ASA のトレースバックとリロード |
|
|
ASA クラスタリング IDFW がユーザーマッピングを更新しない |
|
|
RADIUS アカウンティングパケットによる 1550 バイトブロックの枯渇が確認される |
|
|
RPF が最初に有効になる場合に ASA BFD echo 関数が失敗する |
|
|
設定された自動 NAT を FMC から削除できない |
|
|
ASA(9.1.7.12):スタンバイ ASA を介してマルチキャストストリーム用に作成された接続エントリ |
|
|
ポートチャネル インターフェイスで management-only が有効になっていると展開が失敗する |
|
|
DHCP を使用すると L2TP が接続されないことがある |
|
|
ASAv が応答しなくなる/VPN が再起動後に機能しない |
|
|
非システムコンテキストの SSH 公開キー認証を設定できない |
|
|
SNMPv3 リンクアップ/リンクダウンが管理コンテキストを介して生成される必要がある |
|
|
ASA での低速なメモリリーク |
|
|
ACL の最後のヒットカウントカウンタに誤った時刻が表示される |
|
|
非対称の path icmp トラフィックが分散クラスタリングで失敗する |
|
|
TACACS 認証と設定済みの「password-policy lifetime」を使用した ASA がアクセスを拒否する |
|
|
asav-aws:AWS で過剰なコンソール出力によりリロード CLI が失敗する |
|
|
スレッド名 DATAPATH での ASA のトレースバック |
|
|
ASA IKEv1:トランスフォーム ペイロードでは常に NAT-T カプセル化モードが許可される |
|
|
5585 がクラスタを離れた後の 30 秒間にデータインターフェイスのバンドルを解除しない |
|
|
ASA 944 のサービス オブジェクト グループで作成されると、ポートオブジェクトを削除できない |
|
|
RRI および OSPF を搭載した ASA:ASP ルーティングテーブルからルートをフラッシュできない |
|
|
TFTP を使用してキャプチャをコピーすると ASA がトレースバックすることがある |
|
|
ブートアップ時に大型のコンテキスト設定をロードしている間に ASA がトレースバックすることがある |
|
|
IM インスペクションが有効になっていると、ASA が Web トラフィックをドロップする |
|
|
SNMP が Firepower Threat Defense のすべての管理対象デバイスに同じホスト名をリストする |
|
|
ASA:ICMP トラフィックの PBR メモリリーク |
|
|
新しいユニットがセットアップに参加していなかったにもかかわらず、クラスタ C ハッシュテーブルがもう 1 つのユニットで更新される |
|
|
スケジューラキューの破損が 9.6(2) 後の接続障害またはフェールオーバーの問題を引き起こす |
|
|
cRLSign キーの使用を含む証明書によって CRL を署名する必要がある |
|
|
インサービスアップグレード実行中の ASA のトレースバック |
|
|
ジャイアント オブジェクト グループ(display_hole_og)を使用してアクセスリストを保存/表示しようとするとトレースバックする |
|
|
RT#687120:クライアントレス VPN - SAML のブックマークに関する問題 |
|
|
モジュールのリロード後に ASA FirePOWER モジュール データ プレーンがダウンする |
|
|
スレッド名 dhcp_daemon でのトレースバック |
|
|
デフォルトの「global_policy」サービスポリシーが再起動後に削除された |
|
|
DCERPC インスペクションでパケットがドロップされ、通信が切断される |
|
|
ASDM で「アクセスルール」を表示している際のスレッド名 accept/http での ASA トレースバック |
|
|
スレッド名 IPSEC MESSAGE HANDLER で ASA-FP9300 がクラッシュした |
|
|
NAT 関連オブジェクトを FQDN に変更すると ASA がクラッシュすることがある |
|
|
アクセスグループの変更中に ASA がアサートのトレースバックを生成することがある |
|
|
213 日の稼働後に ARP 関数が失敗し、「punt-rate-limit-exceeded」というエラーでドロップする |
エンドユーザーライセンス契約書
エンドユーザーライセンス契約書の詳細については、http://www.cisco.com/jp/go/warranty にアクセスしてください。
関連資料
ASA の詳細については、『Navigating the Cisco ASA Series Documentation』を参照してください。
フィードバック