解決済みの問題の検索
サポート契約がある場合は、Cisco バグ検索ツールを使用して Firepower 製品の最新の解決済みバグ リストを取得することができます。これらの一般的なクエリには、バージョン 6.2.3.x パッチを実行している Firepower 製品の解決済みのバグが表示されます。
検索では、特定の Firepower プラットフォームとバージョンに影響するバグに絞り込むことができます。バグ ID ごとに検索したり、特定のキーワードを検索することもできます。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
そのパッチが最初にリリースされたとき、パッチに対してリストされているバグは解決済みだと確認されました。
サポート契約がある場合は、Cisco バグ検索ツールを使用して Firepower 製品の最新の解決済みバグ リストを取得することができます。これらの一般的なクエリには、バージョン 6.2.3.x パッチを実行している Firepower 製品の解決済みのバグが表示されます。
検索では、特定の Firepower プラットフォームとバージョンに影響するバグに絞り込むことができます。バグ ID ごとに検索したり、特定のキーワードを検索することもできます。
シスコは、更新版ビルドを適宜リリースしています。各プラットフォームの最新のビルド番号のみが、Cisco サポートおよびダウンロード サイト で入手可能です。常に最新のビルドを使用する必要があります。以前のビルドをダウンロードした場合は使用しないでください。
同じ Firepower バージョンに対して、1 つのビルドから別のビルドにアップグレードすることはできません。新しいビルドで問題が解決する場合は、代わりに、アップグレードまたはホットフィックスが機能するかどうかを確認します。機能しない場合は、アンインストールしてから再インストールする必要があります。
次の表を使用して、新しいバージョン 6.2.3.x のビルドが使用可能かどうかを確認します。
バージョン | 更新されたビルド | リリース日 | 解決済み |
---|---|---|---|
6.2.3.11 |
55 |
2019-03-17 |
Cisco Firepower システムのユーザ エージェントの問題。 バージョン 6.2.3.11 ~ 53 をすでにダウンロードしてインストールしている場合は、Cisco TAC に連絡してホットフィックスを取得してください。 |
6.2.3.5 |
53 |
2018-11-06 |
CSCvk67239:ASA ファイアウォールおよび Firepower Threat Defense デバイスは、フェールオーバー ペアまたはマルチユニット クラスタ内のユニットの状態が変化したときに、トレースバックおよびリロードを行う場合があります。これは、バージョン 6.2.3.5 からバージョン 6.2.3.6 にアップグレードするときにも発生します。 詳細については、ソフトウェア セキュリティ アドバイザリを参照してください。 |
6.2.3.2 |
46 |
2017-06-27 |
CSCvj25386:デバイスでバージョン 6.0 が実行されたことがあると、バージョン 6.2.2.3 よりも前のバージョンへのアップグレードに失敗する場合がありました。 CSCvk06176:この新しいビルドでも、FMC でバージョン 6.2.3 ~ 88 が実行されたことがあると、SSE クラウド接続がドロップされ、テレメトリはアップグレード後にデータを送信できません。バージョン 6.2.3 ~ 88 を実行している場合は、FMC をバージョン 6.2.3 ~ 92 に再イメージ化するか、ホットフィックス T をインストールします。 |
6.2.3.1 |
47 |
2017-06-28 |
CSCvj25386:デバイスでバージョン 6.0 が実行されたことがあると、バージョン 6.2.2.3 よりも前のバージョンへのアップグレードに失敗する場合がありました。 CSCvk06176:この新しいビルドでも、FMC でバージョン 6.2.3 ~ 88 が実行されたことがあると、SSE クラウド接続がドロップされ、テレメトリはアップグレード後にデータを送信できません。バージョン 6.2.3 ~ 88 を実行している場合は、FMC をバージョン 6.2.3 ~ 92 に再イメージ化するか、ホットフィックス T をインストールします。 |
45 および 46 |
2017-06-21 |
コンポーネントの問題。 |
不具合 ID | タイトル |
---|---|
削除されたかアウトオブバンドで追加されたインターフェイスの FMC ヘルス通知がスタックする |
|
6.2.2 へのアップグレード後に ASDM を介した SFR モジュールのシステム ポリシーの編集ができない |
|
FMC または FTD のいずれでも変更を加えていないにもかかわらず、FlexConfig オブジェクトがデバイスにプッシュされる |
|
tcp プロキシ:データパスでの ASA のトレースバック |
|
メモリが不足している FTD で展開を行うとインターフェイス名が削除される |
|
大きな firewall_rule_cache テーブルによる ids_event_alerter の高メモリ使用率 |
|
非標準ポートの Mysql トラフィックが正しく分類されない |
|
ngfw.properties が空の場合に ngfwManager が開始されない |
|
FTD Lina のトレースバック(Normaliser によるシステムでのパケット ループが原因) |
|
監査ログの設定の失敗によりシステム設定が編集できなくなる |
|
「show inventory」コマンド発行時の ASA のトレースバックとリロード |
|
アクセス コントロール ポリシー編集時の内部エラー |
|
多数の連続 URL ルックアップ(30M 超)生成後のクラウド エージェントのコア化 |
|
ssl および daq デバッグ ログを動的に有効化/無効化できない |
|
ASA:データパスでのウォッチドッグのトレースバック |
|
FTD lina がスレッド名 cli_xml_server でコア化する |
|
FTD によってランダムな SGT タグが追加される |
|
(snort)HTTPS 経由時にファイルが検出されなくなる(SSL 再署名) |
|
FMC GUI を介して BGP に OSPF を再配布すると FTD によって自動的にメトリックが 0 に設定される |
|
ポリシー展開失敗後からのロールバック後に FIPS モードが無効になる |
|
処理されていないリソースが一時的に使用できないという問題により Firepower 8000 インターフェイスがフラップする場合がある |
|
アップグレードした FMC デバイスで、正常に展開された後も FXOS デバイスがダーティとして表示される |
|
不明瞭な DND を使用しているときに正しくないルールが一致する |
|
ポリシーの展開による ospf ネイバーの削除および追加 |
|
管理対象デバイスが 500 以上ある場合に FMC のデバイス管理ページのロードが遅くなる |
|
NAT ポリシーの適用がエラーの重複で失敗する |
不具合 ID | タイトル |
---|---|
いくつかのセキュリティ脆弱性に対処するために MEMCACHED ソフトウェアのアップグレードが必要 |
|
スレッド名でのトレースバック:DATAPATH-2-1785 |
|
https pdf 添付ファイルの問題 |
|
eStreamer アーカイブ イベントが diskmanager によって正しくプルーニングされない |
|
NFVIS(KVM)システムに ASAv VM を展開するときに SNMPv3 の snmp-server ホスト コマンドが正しく適用されない |
|
mysql-server.err ログに過剰なロギングが発生すると FTD に大きなログ ファイルが生成される |
|
フェールオーバー イベント後に OSPF ルートが古くなりルーティング テーブルにスタックする場合がある |
|
Smart Licensing のメモリ リーク |
|
FTD の sfstunnel プロセスにすでに削除されている大規模なクラウド db ファイルが保持されている |
|
"default Keyring's certificate is invalid, reason: expired" ヘルス アラート |
|
設定セッションの中で変更をコミットした後に SSH セッションがスタックする |
|
ASA CP コアのピン接続によりコアローカル ブロックが枯渇する |
|
Cisco ASA および FTD TCP プロキシのサービス妨害(DoS)脆弱性 |
|
インターフェイスに適用されている qos が機能しない |
|
ASA が「フラッシュからの読み取り中」に数時間にわたってスタックする |
|
スタンバイ ユニットからアクティブ ユニット IP を使用して BFD パケットを送信すると BGP のネイバーシップが障害を起こす |
|
BVI インターフェイスの管理アクセスを使用した write net コマンドの開始が成功しない |
|
OSPF 設定を削除する際の FTD Lina のトレースバック |
|
ルート トラッキング エラー |
|
ASA が H323 H225 を検査しない |
|
IRB 設定でホストが到達不能な場合に ASA コア ブロックが枯渇する |
|
トラフィックを使用して vpn モードを変更するとスピン ロックがトレースバックする |
|
ポリシーの展開:デルタ設定が実行コンフィギュレーションにコピーされないため LINA 設定が変更されないままになる |
|
パーティション強制ドレインが発生していないためディスク使用率が高くなる |
|
Firepower 4100 の ASA で ADI プロセスの開始に失敗する |
|
ASAv での「show memory」 CLI 出力が正しくない |
|
Anyconnect の認証/DAP アセスメントの実行中に ASA が emweb/https でトレースバックする |
|
ACL:アクセスグループの設定エラー後に ACL を設定できない |
|
IKEv2 が他の VPN ライセンスに取得に失敗した |
|
AC ポリシー エディタのロードに時間がかかりすぎるためロード インジケータが必要になる |
|
ASA:FIPS が有効な場合に Quovadis ルート証明書をトラストポイントとしてロードできない |
|
3D デバイスへの展開時に FMC 監査ログに管理者とシステムのみがオーナーとして表示される(GUI/SYSLOG) |
|
Firepower MySQL サーバ:Oracle MySQL の 2018 年 10 月の重要なパッチ更新 |
|
キー再生成後に DTLS が失敗する |
|
FTD でサポートされていない EC カーブ x25519 |
|
ファイルがオフボックスで変更されて再度コピーされた場合に「boot config」を設定しても効果がない |
|
NetFlow の使用時に ASA5506 が徐々にメモリ リークを起こすことがある |
|
KP:AnyConnect がプールから使用している IP が使用可能と表示される |
|
FMC の再起動後、Snort によって生成された侵入イベントが FMC に送信されず、webGUI に表示される |
|
ipsec を使用したデータパスでの ASA 5585 9.8.3.14 のトレースバック |
|
SSL クライアントとしての ASA がハンドシェイク エラー パスでメモリ リークを起こす |
|
プロキシが有効になっている場合、HTTPS ブロック サイトでは Firepower ブロック ページが MS IE11 および Edge に表示されない |
|
シスコ適応型セキュリティ アプライアンスのクライアントレス SSL VPN におけるクロスサイト スクリプティングの脆弱性 |
|
範囲外の allocate-interface コマンドによるASA マルチコンテキストのトレースバックとリロード |
|
Netflow による「Process Name: lina」| ASA のトレースバック |
|
スレッド名のトレースバック:IKEV2 ipsec-proposal にプロトコルを追加した後の Unicorn Admin ハンドラ |
|
SCP のダウンロードに伴って DMA_Pool で生じるバイナリ サイズ 1024 のメモリ リーク |
|
パケット トレーサが「ERROR: TRACER: NP failed tracing packet」で失敗し、循環 asp でキャプチャがドロップする |
|
Ikev2 トンネルの作成に失敗する |
|
CSCuz22961 の hanover におけるスプリット DNS-コミットの問題に対する 255 文字以上のサポート |
|
シスコ適応型セキュリティ アプライアンスのクライアントレス SSL VPN におけるクロスサイト スクリプティングの脆弱性 |
|
シスコ適応型セキュリティ アプライアンスのクライアントレス SSL VPN におけるクロスサイト スクリプティングの脆弱性 |
|
「log default」キーワードのあるアクセスリストを削除できない |
|
ユーザ情報が mysql と sybase 間で一致しない場合、ユーザ IOC を削除できない(部分的に修正) |
|
シスコ適応型セキュリティ アプライアンスのクライアントレス SSL VPN におけるクロスサイト スクリプティングの脆弱性 |
|
マルチコンテキスト展開でのリソースの問題により AnyConnect セッションが拒否される |
|
9.6(4)6 から 9.6(4)20 へのアップグレード時にスタンバイがリブート ループに陥ることがある |
|
ASA IPSec VPN EAP が PKI の有効な証明書をロードできない |
|
異なる名前の 2 つのオブジェクトがあるが、ECMP なしのルートで同じネットワークが使用されている場合の検証チェック |
|
FTD - クラスタ:クラスタに新しいユニットを追加するとトラフィックのドロップが発生する場合がある |
|
SCP のボックスへの大規模なファイル転送によりトレースバックが発生する |
|
VTI が存在する場合に crypto ipsec inner-routing-lookup の設定を許可しないようにする必要がある |
|
展開がタイムアウトする場合があり非終端 AQ が発生する |
|
スケール:500 以上のデバイスを使用すると UMS によって UI がハングする(特に展開時) |
|
トンネル置き換えシナリオが原因で発生した高 IKE CPU に対処するための機能強化 |
|
新しいクラスタ ユニットをセットアップに追加した後でポリシーの展開が失敗する |
|
FMC が大量のデバイスを管理しているときにテレメトリが送信されない |
|
影響を受けるスレッドとしてデータパスを示すトレースバックとリロード |
|
任意の値の SGT タグを持つすべてのクライアント パケットに対するサーバ パケットで SGT タグがタグなしと表示される |
|
SMB ではリモート ストレージ設定でドット(.)を使ったバージョン文字列の設定を許可する必要がある |
|
ブラウザの ERR_SSL_BAD_RECORD_MAC_ALERT または SSL_ERROR_BAD_MAC_ALERT |
|
ASA がトレースバックしリロードすることがある。WebVPN トラフィックに関連する可能性がある |
|
ルートに複数のオブジェクトであるとポリシーの展開に失敗する可能性について警告が表示されない |
|
NGFWHA EO がないため [Device Management] ページをロードできないか、FMC をアップグレードできない |
|
インライン セットをタップ モードから切り替えるとデバイスが不良状態になる |
|
w3m を使用した ipv6 の HTTP が失敗する |
|
App-ID 条件を持つ SSL ルールが復号機能を制限する可能性がある |
|
重複するルールがあると NAT ルールが誤った順序で適用される可能性がある |
|
GTP トラフィックの検査中のメモリ リーク |
|
セキュリティ インテリジェンスの処理中に Snort プロセスが終了する |
|
FMC を経由する必要なしに FTD が URL ルックアップを直接実行できるようにする |
|
シリーズ 3 8250:999_finish/989_flip_mbr.sh で 6.4.0 ~ 87 へのアップグレードに失敗した |
不具合 ID | タイトル |
---|---|
7000/8000 センサーで「変更調整」を使用できない |
|
disk0 が読み取り専用にマウントされているため展開の変更がデバイスにプッシュされない |
|
Cisco ClamAV MEW アンパッカーの Denial of Service(DoS)脆弱性 |
|
FXOS ASA/FTD には内部データ インターフェイス カウンタをポーリングするための手段が必要 |
|
同じタイムスタンプで実行されている 2 つのスケジュール タスクが同じファイルにアクセスするとスケジュール タスクの 1 つが失敗する |
|
設定が原因でプルーニング プロセスの開始に失敗する |
|
FTD を 2 回連続してダウングレードすると(2 回のダウングレード間で更新せずに)誤った lina バージョンになる |
|
インライン セットをタップからインラインに切り替えると 712x デバイスが不安定になる |
|
「www.」の部分なしで同じ URL が 2 回目に入力されると手動 URL ルックアップで Uncategorized が返される |
|
バックアップ スクリプトの終了後に SFDataCorrelator が再起動されない |
|
VPN ステータス メッセージの送信による lina msglyr インフラの過負荷 |
|
後続の HTTP 要求が URL と XFF を取得しない |
|
amp-stunnel.conf が FMC のアップグレード後に正しい amp クラウド サーバを指さない |
|
REST API を使用してオブジェクトを追加するとポリシーの展開に失敗する |
|
Cisco ASA ソフトウェアおよび FTD ソフトウェア VPN SAML 認証バイパスの脆弱性 |
|
設定されたアイドル タイムアウトよりも前に Snort セッションがタイムアウトする |
|
FTDv には vmxnet3 と ixgbevf インターフェイスが混在した初期起動の設定がない |
|
FPR プラットフォームの IPsec VPN が断続的にダウンする |
|
FTD でコントロール プレーン ACL が正しく機能しない |
|
Diskmanager がすべてのイベント ファイルを追跡しない場合がある |
|
FMC を TG アカウントに関連付ける際に FMC がユーザを TG コンソールにリダイレクトすることはできない |
|
Cisco Firepower Management Center のクロスサイト スクリプティングの永続的な脆弱性 |
|
ASA クラスタを 9.10.1.7 にアップグレードするとトレースバックが生じる |
|
DHCPRelay がユニキャスト フラグ付きの DHCP Offer パケットを消費しない |
|
nfm-burnin.sh システム検証テストが最新の NFM リリースで失敗する |
|
新しいサブインターフェイスが追加され、「ac-address auto」が有効になると EIGRP が中断する |
|
同期時に xlate の割り当ての破損が原因でアクティブ FTP がクラスタを介して失敗する |
|
ユーザ ID に対する過剰な DB クエリによりユーザ セッションの処理が遅くなる |
|
SFDataCorrelator が不適切な「Resuming storage of old events」メッセージをログに記録する |
|
暗号スイート条件がある ssl ルールにより不要な tls 1.3 ダウングレードが発生する可能性がある |
|
URL カテゴリが使用され、証明書の共通名が一致しない場合、SSL 接続が失敗する可能性がある |
|
SFDataCorelator プロセスのメモリ リーク |
|
削除されたレルムが原因で多くの user_id が user_identities キャッシュにロードされる |
|
ctm_ipsec_pfkey_parse_msg における ctm_ipsec_pfkey.c:602 での segfault |
|
CC モードを有効にした後の FSIC エラー |
|
展開するデバイスを選択した後、ポリシー展開タスクを挿入するための処理時間が遅延する/長くなる |
|
ダッシュボード ウィジェットでの Talos RSS フィードの更新 |
|
複数のファイル modules*.tgz および vdb*.tgz が FMC から転送されるため FTD HA の作成が失敗する |
|
sni がないため url ルックアップが保留中の際にアグレッシブ ダウングレード アクションが実行される |
|
キー再生成中に PKI ハンドルが解放されないため、VPN セッションが失敗する |
|
未分類の URL への SSL 接続が繰り返し失敗する場合がある |
|
fstab の devpts エントリが破損しているためデバイスへの ssh が失敗する |
|
登録済みデバイスが [Device Management] ページに表示されない |
|
ユーザが AC ルールに無効なインライン ポート範囲を誤って入力できるとポリシーの展開が失敗する |
|
フェールオーバー状態の変更または xlate のクリアを原因とする ASA または FTD のトレースバックとリロード |
|
コンテキスト エクスプローラの一部のドーナツ グラフのロードに失敗する |
|
NAP ポリシー メタデータを送信する際の eStreamer メモリおよび CPU 使用率の増大 |
|
IKE デバッグ実行中の ASA のトレースバックとリロード |
|
アップグレード後にスマート トンネルのブックマークが機能せず証明書エラーとなる |
|
機能強化:重複するリモート プロキシのカウンタを追加 |
|
無効なポート範囲オブジェクトにより AC ポリシーの展開が失敗する |
|
ルールを復号しないとトラフィックが中断する |
不具合 ID | タイトル |
---|---|
Diskmanager:Diskmanager が 99 % までプルーニングしないため /var/storage で重大なアラートが発生する |
|
ピアが存在しない場合に「ha-replace」アクションが動作しない |
|
ブラックリスト設定ファイルの保存エラーが検出されない |
|
FTD トランスペアレントで FlexConfig を介して BPDU をブロックすると展開と登録の問題が発生する |
|
ファイル ポリシー判定にかかわらず、FTD ファイルが複数の既存の接続を介して許可される |
|
多数の古い cloudconfig EO がパフォーマンスの問題を引き起こす |
|
展開中に複数の Snort が応答しない場合、リカバリに時間がかかりすぎる |
|
カスタム DNS セキュリティ インテリジェンス フィードのダウンロードに断続的に失敗する |
|
archive_cache_seed.sensor ファイルが原因で /dev/root パーティションが 100 % になる |
|
順序が正しくない(実際のデータの前に ACK がある)場合、HTTP フローでファイルが検出されない |
|
Diskmanager のファイル キャプチャ データが数時間にわたって同時に増加しない |
|
CPU プロファイリング結果表示時のトレースバックとリロード |
|
FMC は mongo の破損を特定して回復する必要がある |
|
dce2-mem-reloader のメモリ調整に時間がかかりすぎるため Snort のリロードが失敗して再起動が発生する |
|
Firepower プラットフォーム設定ポリシーの監査ログ ホストの有効なホスト名 IP で UI 検証が失敗する |
|
CLISH モードおよびトラブルシューティングで取得された FTD show tech は省略されている場合がある |
|
ポリシーの展開で「Variable set has invalid execulded values」がスローされた |
|
単一引用符で囲まれたユーザ名は user_ip_map ファイルに書き込まれない |
|
FMC webGUI の [Device Management] ページのロード時間が長すぎる(約 45 秒、ライセンスの取得に 25 秒) |
|
設定されたアイドル タイムアウトよりも前に Snort セッションがタイムアウトする |
|
「Do Not Decrypt」ルールが可能な唯一の判定である場合、ssl クライアント hello を変更することはできない |
|
Firepower Management Center の [Domain] ページのロードに時間がかかりすぎる |
|
OOM が原因で FMC からの展開が失敗し、理由が示されない |
|
新しい IKEv1 トンネルを確立して終了すると IPsec でメモリ リークが検出される |
|
CC モードを有効にした後の FSIC エラー |
不具合 ID | タイトル |
---|---|
ASA:DATAPATH-2-1157 のトレースバック |
|
500 台のセンサーがある場合、アプライアンス ステータス ウィジェットでのロードに時間がかかりすぎる |
|
EtherChannel に障害が発生した場合のフェールオーバー後に ASA ルートがフラッシュされる |
|
GTP インスペクションが CPU 使用率をスパイクさせることがある |
|
SSL ハンドシェイクが大規模な証明書チェーンで失敗する |
|
DATAPATH のトレースバック、assertion "0" failed: file"./snp_cluster_transport.h", line 480 |
|
FTD プラットフォーム設定:SSL カスタム設定のデフォルト DH グループを 2 に変更する |
|
SNMPv3 ユーザが定義されていない場合、アクセス リストで変更を保存できない |
|
スタンバイ FTD での DATAPATH のトレースバック |
|
到達不能な syslog サーバを設定すると fmc GUI が低速になる |
|
SFR モジュールのシャットダウン後に ASA が ASA 5585-X のみでリブートによりトレースバック状態になる |
|
プロキシ パスワードに @ 文字が含まれている場合、FMC が SSM との通信に失敗する |
|
AD で CAC 認証および認可の使用を有効にすると RADIUS が変更時に切断される |
|
FMC に対する REST-API 要求の同時フラッドによりアクセス不能になる |
|
GUI で展開ステータスが一致してない |
|
FMC の CAC の外部認証オブジェクトには「ユーザ名テンプレート」が必要 |
|
アクティブな FTP データ転送が FTP インスペクションおよび NAT で失敗する |
|
キャッシュ アーカイブ データのフラッディングにより Sftunnel サービスが停止する |
|
日本語の FMC でスケジューリング レポートの生成を実行できない |
|
空のインターフェイス設定をデバイスに展開するとトラフィックが停止する |
|
エラー:設定のキャッシュ中に権限付与がすでに取得されている |
|
GTP インスペクションが TCP パケットを処理してはならない |
|
ポリシー展開の通知がスタックしているためランダムなポリシー展開に失敗する |
|
GTP 削除ベアラー要求がドロップされている |
|
CPU プロファイリング情報の取得中に ASA/FTD-LINA トレースバックが確認される |
|
クロック ドリフトにより ndclientd からのハートビートの失敗が発生する |
|
FTD HA でスタンバイ デバイスが破損している場合、設定のコピーに失敗できない |
|
FP プラットフォームで「No Switchover」のステータスのままで HA 障害を起こしたプライマリ ユニットがアクティブと表示される |
|
ファイルサイズ ディレクティブが無効な入力エラーを返し、clish からのキャプチャを中断する |
|
ASA:PC alloc_fo_ipsec_info_buffer_ver_1+136 によるメモリ リーク |
|
RegistrationTR::addToLamplighter の TID が原因で FTD 登録が失敗する可能性がある |
|
ASA 上の SSH サービスが入力された文字や貼り付けられた各文字を自身のパケットにエコー バックする |
|
Cisco Firepower Management Center のクロスサイト スクリプティングの脆弱性 |
|
LINA 設定のロールバックではスタートアップ コンフィギュレーションがデフォルトの実行とマージされる |
|
FTD デバイスがアクティブ状態になった後に 5 分以内にリブートされる |
|
管理者が ASA 5500-X に CXSC モジュールを取り付けられないようにする |
|
NULL チェックなしの SCTP トラフィック インスペクションにより ASA がトレースバックすることがある |
|
AMP 動的分析のクラウドを送信レートに対して個別に追跡する必要がある |
|
ASA:失敗した SSL 接続が削除されず、DMA メモリが枯渇する |
|
エラー メッセージの後、[Device Management] ページがロードされず、タイムアウトする |
|
Firepower:SFTunnel 通信のために TLS 1.0 を永続的に無効にする |
|
設定済みの SNMP で FTD-HA の形成に失敗する |
|
Nameif がインターフェイスで設定されている場合に SNMPv2 が空の ifHCInOctets 値をプルする |
|
ftp_telnet.conf(4) => Invalid keyword 'memcap' for 'global' configuration により展開に失敗する |
|
セキュリティ インテリジェンス機能によって IP アドレスが誤ってブロック(URL ブロック)される可能性がある |
|
mysql-server.err ファイルが完全に削除されず、Firepower のディスク容量を消費し続ける |
|
call-home で使用したインターフェイス設定を削除すると ASA がトレースバックする |
|
HA 設定の同期を使用した wccp_int_statechange() でのスタンバイ ノードのトレースバック |
|
stunnel 設定ファイルで tls1.0 および tls1.1 を除外する |
|
プライマリ DMA プールが枯渇すると、ASA は GCM(SSL)接続を許可して DMA_ALT1 を使用する必要がある |
|
remove_peers.pl スクリプトが FTD で実行されている場合、このスクリプトを終了する |
|
ドメインを削除しても、レルムがそのドメイン内にある場合、一部のオブジェクトの削除に失敗する |
|
IOS XE 16.5.1 以降で実行されているネイバーから送信された LLS TLV を持つ OSPF hello パケットが ASA によって破棄される |
|
FP2120 FTD が停電後に応答しなくなった |
|
RA VPN + SAML 認証により RADIUS サーバに対して 2 つの許可要求が発生する |
|
ファイバの枯渇により ASA が新しい AnyConnect 接続の認証を停止する |
|
ポリシーの適用中に SI タスクが実行されている場合、スレーブノードがクラスタから退出する |
|
CA パスを使用するための FireAMP curl コールの更新 |
|
復号されていない SSL 接続を変更した場合、この接続を閉じる必要がある |
|
fp2100/1000 KP/WM でのフェールオーバー スイッチオーバーまたはフェールオーバー解消における権限付与のリリース エラー |
|
SSL 暗号化ハードウェア オフロードで選択的な ack が発生しない |
|
CXSC モジュールが継続的にリロードされるために ASA 5500-X が crashinfo を書き込まずにリロードすることがある |
|
フロー テーブル設定の更新中に devcmd 障害時における CRUZ への複数回の再試行をサポートする方法 |
|
Python pop3lib apop() メソッドの Denial of Service(DoS)脆弱性 |
|
Nokia 7705 ルータでの ISA3000 interop の問題 |
|
アクティブ認証が有効になっていて、SSL ポリシーが有効になっていない場合、Snort が終了する可能性がある |
|
SSL 復号化を使用しているときに Snort が予期せず終了する |
|
複数のスレッドが同じロックを待機しているために発生する ASA のトレースバックとリロード :ウォッチドッグ |
|
FTD の messages-X-SNAPSHOT.jar の 2 つのバージョンが展開の失敗を引き起こす |
|
ASA/webvpn:FF および Chrome:文法ベースのパーサーでブックマークがレンダリングされない |
|
Snort/データ コリレータは Firepower 4100/9300 デバイスで終了するときにクラッシュする可能性がある |
(注) |
バージョン 6.2.3.9 はバージョン 6.2.3.8(2019 年 1 月 7 日にCisco サポートおよびダウンロード サイトから削除された)を置き換えます。「バージョン 6.2.3.8 で解決済みの問題」に記載されている問題は、バージョン 6.2.3.9 でも修正されています。 |
不具合 ID | タイトル |
---|---|
FMC を 6.2.3.8 ~ 51 にアップグレードすると、ASA/FTD を経由するトラフィックの送受信が停止する場合がある |
(注) |
バージョン 6.2.3.8 は 2019 年 1 月 7 日にCisco サポートおよびダウンロード サイトから削除されました。このバージョンは、バージョン 6.2.3.9 に置き換えられます。ここに記載されている問題は、バージョン 6.2.3.9 でも修正されています。 |
不具合 ID | タイトル |
---|---|
SSL で Extended Master Secret をサポートするための機能強化 |
|
Firepower は TCP ダンプの脆弱性の影響を受ける |
|
成功および失敗した SSH 認証試行が FP 監査ログに記録されない |
|
HA ペアのセカンダリ FMC で LOM を設定できない |
|
Firepower Management Center システム設定の電子メール通知のパスワードの長さが短すぎる |
|
ポリシーの展開が失敗した後、ActionQueueScrape プロセスが終了しなかった |
|
トラフィック プロファイルとの相関ポリシーが機能しない |
|
FTD 診断インターフェイスが br1 管理サブネットの ARP をプロキシする |
|
クライアント hello ペイロードが 6 バイト未満の場合、SSL 復号がバイパスされる |
|
NAT 検出ペイロードを使用した DPD により Strongswan/サード パーティ クライアントとの IKEv2 MOBIKE セッションが失敗する |
|
800_post/755_reapply_sensor_policy.pl でデバイスの更新に失敗する可能性がある |
|
2 タプルおよび 4 タプルのハッシュ テーブルをロックレスに変更する |
|
ASA IKEv2 キャプチャ タイプ isakmp が、破損したパケットを保存しているか、またはパケットが欠落している |
|
HA モードの FMC では、アクティブな FMC に障害が発生したときに、スタンバイ FMC からの正常性ポリシーが欠落する |
|
ENH:「show tech」出力への「show fragment」の追加 |
|
ENH:「show tech」出力への「show ipv6 interface」の追加 |
|
ENH:「show tech」出力への「show aaa-server」の追加 |
|
FMC から管理対象の FTD デバイスを削除した後のディスク使用率が高い |
|
インターフェイスの編集と展開後に FTD IPV6 トラフィックが停止する:パート 1/2 |
|
パッシブ モードの Firepower 2100 FTP クライアントがサーバとのデータ チャネルを確立できない |
|
オーバーヘッドによるメモリ使用率が含まれているために「show memory」の「free memory」が正しく出力されない |
|
CVE-2018-5391 不適切な IP フラグメント処理を通じたリモート Denial of Service(DoS) |
|
SIP インスペクションの脆弱性が原因で生じる Cisco ASA および FTD の Denial of Service(DoS)または高 CPU |
|
Chrome ブラウザが使用されている場合、SSL ポリシーは *.lightning.force.com での PDF の表示を許可しない |
|
オブジェクト グループの検索しきい値の作成がデフォルトで無効になっており、設定可能である。機能停止の原因となる |
|
Cisco 適応型セキュリティ アプライアンス ソフトウェアの特権昇格の脆弱性 |
|
同じ dACL が接続されているすべての Anyconnect クライアントの dACL が ASA によって誤って削除される |
|
スレッド名 vpnfol_thread_msg での高可用性スタンバイ ユニットのトレースバック |
|
5500 の FTD で SSH 公開キー認証が機能しない |
|
NPN ネゴシエーションの SSL 接続は、[Do Not Decrypt] SSL ポリシーに一致すると失敗する可能性がある |
|
verify_firmwareRunning() 戻りコードがチェックされない |
|
サーバの応答が大きすぎた場合に(ERR_RESPONSE_TOO_BIG)ASA Kerberos 認証で TCP への切り替えが失敗する |
|
KRB_ERR_RESPONSE_TOO_BIG を処理するときのメモリ リーク(krb5_extract_ticket でのリーク) |
|
FMC - 外部 RADIUS 認証 - [Shell Access Filter] フィールドのテキストが検証されない |
|
log default コマンドでアクセス コントロール ライセンス エントリを変更できない |
|
サーバがワイルドカードの共通名を持つ証明書を使用する場合、SSL ポリシーが誤ったルールと一致する可能性がある |
|
無効な証明書チェーンが原因で、ローカル マルウェア検出の更新が FMC にダウンロードされない |
|
Linux カーネル 3.10.107 の脆弱性 |
|
侵入イベント レポートの日付、時間、曜日が UTC で、時刻がローカル タイムゾーンになる |
|
ASA 5506 における http://x.x.x.x/asasfr-5500x-boot-6.2.3-4.img コピー中のエラー(デバイスにスペースが残っていない) |
|
次の展開でルートマップ設定から「set ip next-hop verify-availability」が削除される |
|
FTD:「object-group-search」が flexconfig を介してプッシュされるとすべての ACL が削除されて機能停止が発生する |
|
x509 証明書およびキーへの変更に関する監査の詳細が欠落している |
|
FTD:パーサーからの ethertype ACL を信頼する機能が必要である。BPDU の通過を許可する必要がある |
|
ソケットの権限エラーによりキャプティブ ポータルの bltd プロセスが起動時に失敗する |
|
「Not a directory」というエラー メッセージが表示され、ポリシーの展開に失敗した |
|
SSL インスペクション ポリシーによって SEC_ERROR_REUSED_ISSUER_AND_SERIAL ブラウザ エラーが発生する場合がある |
不具合 ID | タイトル |
---|---|
CC モードを有効にすると内部サーバ エラーが UI に表示される |
|
sudo:CVE-2017-1000368:Sudo 解析された tty 情報の特権昇格の脆弱性 |
|
NAT 検出ペイロードを使用した DPD により Strongswan/サード パーティ クライアントとの IKEv2 MOBIKE セッションが失敗する |
|
Firepower Management Center の AMP クラウド イベントが異なるファイル タイプで認識される |
|
mgmt インターフェイスが eth0 でない場合、Appliance Information ウィジェットは無効な IPv4 アドレスを表示する |
|
セキュリティ コンテキストの削除後にマルチキャストがドロップされる |
|
Firepower 2100:ポートチャネルのダウン通知の遅延 |
|
2 タプルおよび 4 タプルのハッシュ テーブルをロックレスに変更する |
|
ポリシーの展開に時間がかかる(最長で 4 時間) |
|
URL カテゴリ ルックアップが保留中の場合、SSL デフォルト ポリシー アクションが実行される |
|
ASA IKEv2 キャプチャ タイプ isakmp が、破損したパケットを保存しているか、またはパケットが欠落している |
|
linux ホットフィックス レイヤ ディレクトリの再編成 |
|
アクティブな FTP データ転送が FTP インスペクションおよび NAT で失敗する |
|
ENH:show tech 出力への show ipv6 interface の追加 |
|
KVM(FTD):外部からの Web サーバのマッピングが他のプラットフォームと一貫した動作をしない |
|
クラスタまたはフェールオーバーの Firepower モジュールでのポリシー展開の失敗 |
|
アップグレードを試行したときの [Error: Timed out communicating with DME] |
|
トラフィックがプロキシを通過するとき Tor がブロックされない |
|
低速ネットワークでは、リソースが一時的に使用できなくなる例外により、展開に失敗する可能性がある |
|
FPR 9300 の FTD で事前フィルタが有効になっている状態で TCP ヘッダーが破損する |
|
CPU プロファイラがしきい値に達しないままサンプルを収集せずに実行を停止する |
|
show memory の出力に誤ったメモリが表示される |
|
41xx 上の一部のデバイスの /ngfw パーティションには 39 GB が表示され、その他のデバイスでは 100 GB が表示される |
|
新しい CA 証明書が存在しないため、Firepower によるソフトウェア アップデートのダウンロードが失敗する |
|
BusyBox huft_build 関数の Denial of Service(DoS)脆弱性 |
|
CVE-2018-5391 不適切な IP フラグメント処理を通じたリモート Denial of Service(DoS) |
|
NAT ルールの説明(チェコ/スロバキア文字を含む)を削除すると ASA cmd の検証が失敗する |
|
チケットと既知キーのアクションを使用したセッションの再開試行で完全なハンドシェイクが使用される |
|
SNI を使用しない SSL 接続が誤った SSL ルールにヒットする可能性がある |
|
スレーブ ユニットが無効状態になっている場合、FTD クラスタに参加できない |
|
FMC 6.2.3.3 から 6.2.3.4 にアップグレードした後、syslog メッセージの形式が変更された |
|
SIP インスペクションの脆弱性が原因で生じる Cisco ASA および FTD の Denial of Service(DoS)または高 CPU |
|
SSL ポリシーを使用していない場合、FMC は不正なアクセス コントロール ポリシーに一致する接続を表示する |
|
オブジェクト グループの検索しきい値の作成がデフォルトで無効になっており、設定可能である。機能停止の原因となる |
|
メモリ制限のため、fwrulechecker でアクセス コントロール ポリシーの展開に失敗する |
|
同じ dACL が接続されているすべての Anyconnect クライアントの dACL が ASA によって誤って削除される |
|
スレッド名 vpnfol_thread_msg での高可用性スタンバイ ユニットのトレースバック |
|
ファイル イベントまたは FireAMP イベントを逆シリアル化するエラーの後、eStreamer が繰り返し終了する |
|
SSL ハードウェア オフロード機能が有効になっているときに SSL ポリシーを展開できない |
|
Linux カーネル yurex_read の特権昇格の脆弱性 |
|
セキュリティ インテリジェンスの同期タスクが失敗する |
|
Linux カーネル alarm_timer_nsleep () 関数の整数オーバーフローの脆弱性 |
|
SFNotificationd の停止に失敗する |
|
サーバの応答が大きすぎた場合に(ERR_RESPONSE_TOO_BIG)ASA Kerberos 認証で TCP への切り替えが失敗する |
|
監査 Syslog メッセージがユーザ情報なしで送信される |
|
ASA:CSCvm70848 の IKEv2/IPSec デバッグを追加 |
|
KRB_ERR_RESPONSE_TOO_BIG を処理するときのメモリ リーク(krb5_extract_ticket でのリーク) |
|
イベント アラート プロセスの CPU 使用率により、ビジー 状態の Firepower 2100 での展開が遅れる |
|
NAT ルールが原因でポリシーの展開が失敗する |
|
log default コマンドでアクセス コントロール ライセンス エントリを変更できない |
|
ASAv/FP2100 スマート ライセンス:ライセンスを登録/更新できない |
|
Snort プロセスでは、影響を与えるトラフィックの終了に時間がかかる |
|
FTD:重複する NAT ステートメントが設定されている場合に SSH から ASA へのデータ インターフェイスが失敗する |
|
ポリシー展開の最終段階は、現在のユーザではなく admin で監査ログに記録される |
|
FMC が ASA に strong-encryption-disable をランダムに送信する |
不具合 ID | タイトル |
---|---|
ASA ブート時の DHCP による WebVPN 「enable intf」、CLI の欠落 |
|
FIPS ブート テスト後に送信されたログが原因で ASA がブートループする |
|
ASDM がイメージのアップロード エラーを表示する |
|
ヘルス モニタリングが FTD の CPU を 100 % または 150 % として誤って表示する可能性がある |
|
SFDataCorrelator ログ スパム「Received an unknown event type」 |
|
ASA/FTD 展開エラー「Management interfaceis not allowed as Data is in use by this instance」 |
|
「Attempted to store stale object」が表示され、スケジュールされたルール推奨更新が失敗する |
|
ASA 9.4.4.8、SNMP により低速なメモリ リークが発生する |
|
Firepower 9300 で FTD cli プロンプトがスタックしている |
|
競合状態の結果、ユーザ id REST API が機能しない |
|
ASDM AC のダウンロード時に GUI 言語を編集しても FPR-21XX の変更が無視される |
|
RTP パケットが AC ポリシーのルールと一致しない |
|
システム メモリが 101 % と報告する syslog 321006 を ASA 9.8.2 が受信する |
|
TCP 4 ウェイ ティアダウンの際に早期の Snort 接続が終了する |
|
後続のフェールオーバーが 2 回実行されると ASA SIP セッションと Skinny セッションがドロップされる |
|
clear crypto ipsec ikev2 のコマンドがスタンバイに複製されない |
|
FTD が BGP のグレースフル リスタート後に End-of-RIB のマーカーを送信しない |
|
ハーフクローズ状態の lina conn テーブルでフローがスタックする |
|
AnyConnect クライアント プロファイルが接続プロファイルで割り当てられていない場合、グループ ポリシーの下に表示されない |
|
スレッド名 DATAPATH-1-2325 での ASA のトレースバック |
|
柔軟なタイムアウトが適用されず、600 秒のタイムアウトが適用される |
|
Windows 10 バージョン 1803 の IKEv2 フラグメンテーション機能が有効になっているため EAP を使用した IKEv2 RA が失敗する |
|
高スループットの LAN 間 VPN トラフィックによりデータ キー再生成で Firepower 2100 トンネルがフラップする |
|
ASDM を介して ASA にログインすると syslog 611101 に 0.0.0.0 の IP がリモート IP として表示される |
|
ASA の EtherChannel をアクティブ モードで設定すると huasan 製スイッチで MAC アドレスがフラップする |
|
GTP インスペクションおよびフェールオーバーによるトレースバックとリロード |
|
QoS ルールの評価でアプリケーションの変更時にフローが再評価されない |
|
トレースバック:mutex ロック実行中の ASA 9.8.2.28 |
|
FDM:6.2.3 ~ 83 ビルドで最新の SRU に更新した後、展開が失敗する |
|
SA の削除中に生じる ASA IKEv2 のクラッシュ |
|
DHCP オプション「false」を設定すると、GUI に DHCP 設定が表示されなくなる |
|
「Thread Name: Logger Page fault: Address not mapped」での ASA のトレースバックとリロード |
|
クライアント証明書を有効にしてからアップグレードすると、FMC UI にアクセスできない |
|
FMC を 5.4.0 からアップグレードする場合、ca-cert.pem ファイルのソフト リンクがない |
|
ASA がメッセージ本文として HTTP を送信するとクライアントレス WebVPN が失敗する |
|
アグレッシブ モードを無効にする場合、FMC が「crypto ikev1 am-disable」を展開しない |
|
LDAP グループはダウンロードされるが、GUI で使用できない |
|
FDM を使用して KP 6.2.2.2 で復元できない |
|
TCP ハンドシェイク パケットの再送信時にフローが確立されている IPS ルールがブロックしない |
|
プロキシ設定を使用しているブラウザに Firepower ブロック ページが表示されない |
|
SRU の更新中に自動的に有効にされる機密データの検出 |
|
EEM を使用して VPN 接続イベントを追跡するとトレースバックとリロードが発生することがある |
|
FTD 6.2:侵入イベントが送信元ポートと宛先ポートを表示しない |
|
IPS ルールを適用するときに、AppID に基づいてプロトコルが更新されない |
|
ごく一部の ECDHE 接続が失敗する |
|
特殊文字「&」を使用する場合の EIGRP 認証キーの問題 |
|
FPR 9k ASA クラスタのマルチコンテキスト モード/vpn モードの配信が原因で設定がトランスペアレント モードの場合にリブート ループが生じる |
|
6.2.3.5 へのアップグレード後にスマート ライセンスが登録解除される |
|
ASA:PC cssls_get_crypto_ctxt によるメモリ リーク |
|
ASA トレースバック:スレッド名 NIC Status Poll |
|
ASA での AAB の計算が正しくないと、ランダムな AAB 呼び出しが発生する |
|
DNS SI イベントの誤検出 |
|
SSL インスペクションがフロー情報なしでフローの処理を続行する場合がある |
|
Cisco 適応型セキュリティ アプライアンスの WebVPN:VPN がブラウザを介して接続しない |
不具合 ID | タイトル |
---|---|
Cisco Firepower Management Center のクロスサイト リクエスト偽造の脆弱性 |
|
ThreatGRID クラウドへの接続試行を無効にするオプション |
|
syslog が VPN トンネルを介して送信されるとトレースバックする |
|
整数ホスト属性を作成した後、変更できない |
|
管理対象デバイスと estreamer クライアント間で estreamer sftunnel を確立できない |
|
Firepower 動的分析アソシエーションが US アドレスのみにリダイレクトされる |
|
フィルタと一致するすべてのアプリケーションがすべてのオブジェクトを削除する |
|
URL レピュテーションに Encore の高リスクまたは不明が表示される |
|
Firepower Threat Defense でプレフィックス リスト「le 32」が機能しない |
|
次の展開で PBR 設定から「set ip next-hop verify-availability」が削除される |
|
configure user add コマンドが数値ユーザを受け入れない |
|
WebVPN:Confluence アプリケーションと Jira アプリケーションでの複数のレンダリングの問題 |
|
ペイロード暗号化なし(NPE)の ASA での「show tech」を使用したトレースバックとリロード |
|
ASA が TCP/UDP syslog に 104001 メッセージおよび 104002 メッセージを送信しない |
|
PKI:ASA が「Add CA req to pool failed. Pool full.」というエラーで CRL の処理に失敗する |
|
ASDM で管理される ASA によって [Query Cisco CSI for Unknown URLs] オプションがリセットされる(回帰) |
|
競合状態のために、ルール メッセージなしで syslog アラートが発生する可能性がある |
|
CLI と REST-API の間の ASA NAT の位置の不一致が原因で REST が誤った設定を削除する |
|
通信のリセット時に ids_event_processor がメモリをリークする |
|
SFDataCorrelator が「Invalid column value name」エラーをレポートし、管理対象デバイスで eStreamer が機能しない |
|
[Decrypt - Known Key] SSL ルール アクションによる、暗号化された SMTP TLS のファイルの検出に失敗する |
|
LDAP SSL 暗号化エンジン エラー |
|
VTI の使用時に ARP トラフィックが原因で 256 バイトのブロック リークが観測される |
|
ASA-IC-6GE-SFP-A モジュールが取り付けられている場合の ASA5515-X の DMA メモリ不足 |
|
複数のプロキシがある場合、snort による x-forward-for-like ヘッダーの処理が正しくない |
|
IDSEventAlerter ログ スパム「Unable to get SSL certificatefingerprint」 |
|
スレーブ ユニットが S2S の UDP/500 および IPSec パケットをマスターにリダイレクトせずにドロップする |
|
キャプチャ トラフィックの実行時にいくつかのハードウェア ルールが切り捨てられる |
|
ファイル読み取りエラーの後、IDSEventAlerter と IDSEventProcessor が機能を停止し、スパムがログに記録される |
|
telnet アクセスを使用して「failover active」を実行した後に生じるスレッド「Logger」でのスタンバイのトレースバック |
|
Firepower デバイスは Threat Grid 証明書を信頼する必要がある |
|
Firepower Threat Defense:ネイバーの展開操作の BGP 順序が原因で障害が発生する |
|
アプリケーション データ フェーズで ECDHE-RSA-RC4-SHA 暗号を使用した復号化された接続が失敗する |
|
SNMPv3 ユーザ engineID がアクティブな engineID と一致しないため、SNMP 要求で「user not found」エラーが発生する |
|
SSL ポリシーの複製における信頼できる CA のリスト |
|
脆弱な SSL/TLS バージョンと暗号を使用した sftunnel |
|
コンテキスト ストレス テストの作成/削除により nameif_install_arp_punt_service でトレースバックが発生する |
|
2100 シリーズ アプライアンスでの ftdrpcd プロセスからの過剰なロギング |
|
SSL ポリシーにユーザまたはグループを追加するときにポリシーの展開が失敗する |
|
スタティック IPv6 ルート プレフィックスが ASA 設定から削除される |
|
2100/4100/9300:Management Center からキャプチャを停止/一時停止しても CPU 使用率が低下しない |
|
Firepower Threat Defense で「management」という名前のインターフェイスのパケット キャプチャが失敗する |
|
IP ローカル プールが同じ名前で設定されている |
|
各リブート後に IPv6 に対して logging host コマンドが有効になっている場合の ASA のトレースバック |
|
TLS クライアントにより、CC で許可されていない、CC モードの CipherSuite がいくつか提供される |
|
webvpn-l7-rewriter:IE でブックマークのログアウトが失敗する |
|
6.2.3 にアップグレードした後、FMC が eStreamer クライアントの sha1 証明書を引き続き生成する |
|
Firepower サービスで SSL ポリシーを作成できない |
|
SCTP トラフィックにより ASA がトレースバックすることがある |
|
FTD 6.2.3 の CLISH モードからのピグテールが許可されない |
|
ユーザの消去後にユーザが不明と表示される |
|
si_uuid が firewall_rule_cache にない場合、SFDataCorrelator アラートがデッドロック再起動を引き起こす可能性がある |
|
FMC が不正なアクセス コントロール ポリシー ルールに一致する接続を表示し、パケット カウントがゼロになる |
|
FMC カーネルの脆弱性の評価 |
|
9.8.2.20 を実行している ASA 5525 でメモリが枯渇する |
|
SI カテゴリがアラートまたは eStreamer に対して正しくない可能性があり、パフォーマンスとメモリの問題もある |
|
v2 ハンドオフの処理中に GTP ソフト トレースバックが確認される |
|
エージェント uuid なしで FireAMP イベントを処理すると、SFDataCorrelator が終了したままになる |
|
アプリケーション ID が検出された場合、AppID がトラフィックの処理を停止する |
|
ルールの評価の処理中に Snort が予期せず終了する |
|
show process(rip:inet_ntop6)実行時の ASA のトレースバックとリロード |
|
ASA SSLVPN ログイン ページのカスタマイズをロードするために必要な圧縮の有効化 |
|
sfdccsm のロギング レベルのために Firepower Management Center WebUI のパフォーマンスが低下する |
|
GTP APN 制限の解析時に不要な IE が存在するエラー |
|
無効なコンテンツ エンコーディングによりローカル CA からの証明書のインポートが失敗する |
|
ASDM/Telnet/SSHを介して QoS メトリックにアクセスするときに ASA のトレースバックとリロードが発生することがある |
|
WebVPN:文法ベースのパーサーがメタタグを処理できない |
|
ネイバー IPv6 アドレスが先行する 0 をグループに含んでいる場合、FMC は BGPv6 コマンドを否定する |
|
ASA の「snmp-server enable traps memory-threshold」で CPU が占有され、「no buffer」でドロップする |
|
センシティブ データのしきい値設定が正しくない |
|
オーバーライドが設定されているオブジェクトでは、設定のコピーが行われなかった |
|
1 つのセッションで複数のパターンを処理する場合、センシティブ データが想定どおりに動作しない |
|
Firepower 2110、webvpn の条件付きデバッグが原因で Threat Defense がトレースバックする |
|
ゾーン情報のない UDP トラフィックが誤った AC ルールと一致する |
|
switchprimarynode API コールのアプリケーション レベル タイムアウトを追加する |
|
インラインセットに対して NGIPSV「system support capture-traffic」が機能しない |
|
MAC で Safari 11.1.x ブラウザを使用した AnyConnect 4.6 の Web 展開が失敗する |
|
DAQ の segfault で Snort プロセスが終了した |
|
VPN 設定を使用した Firepower Threat Defense のハイ アベイラビリティの作成に失敗する |
|
競合状態処理の評価により Snort プロセスが終了する |
|
フラグメント化したパケットに関する非同期キューの問題がブロックの枯渇につながる:9344 |
|
同じ共通名を持つ 2 つのグループに少なくとも 1 人のユーザが属しているため、ユーザ/グループのダウンロードが失敗する |
|
Firepower Threat Defense:暗号マップが正しくないために DMA メモリが不足して VPN 障害が発生する |
|
max_sessions に指定された値が範囲外であるため Snort 設定の検証に失敗した |
|
FMC でクラスタのメンバーがシャットダウン/無効化されている場合、ポリシーの展開が失敗する |
|
イベント ストレージが大きく、デバイス数が多い場合、SFDataCorrelator イベントのバックログが増加する |
|
誤った TCP チェックサムが snort の再試行を引き起こす |
|
変更調整レポート:ルール削除イベントをシンプルにする |
|
別のドメインのレポート テンプレートを使用すると、スケジュールされたレポートが正しいドメインに保存されない |
|
RDP ブックマーク プラグインが起動しない |
|
冗長インターフェイスを使用したハイ アベイラビリティの作成中に Threat Defense のインターフェイスがダウンする |
不具合 ID | タイトル |
---|---|
rna_client_app_map の最後のエントリが重複している場合、SFDataCorrelator が失敗する |
|
十分な LCMB メモリを割り当てることができないため、5506 での最初のブート時に ASA がトレースバックする |
|
IPV6 アドレスが syslog で受け入れられない |
|
Threat Intelligence Director(TID)の起動によって遅延が発生し、Tomcat の起動が停止する |
|
Firepower Management Center に証明書をインポートするときに証明書メッセージをインストールできない |
|
ブロック応答の非常に大きな HTML ページを含めると、復号化されたすべてのサイトでロードが失敗する |
|
MySQL テーブル secondary_login が無制限に増大する |
|
URL フィルタリング ライセンスが期限切れになるか、削除されると、CloudAgent が 1 分ごとに再起動する |
|
BGP ASN によってポリシーの展開が失敗する |
|
UserIdentity [ERROR] UserLoginInfo メッセージの処理中のエラー: [1] Invalid Argument |
|
Snort が、トランスペアレント Threat Defense の異なる BVI に対する U ターン トラフィックの同じ接続に一致する |
|
show memory binsize および show memory top-usage で正しい情報が表示されない(すべてが PC 0x0 を表示する) |
|
ASA:再起動後に dns expire-entry-timer 設定が表示されなくなる |
|
Firepower 2100 での SNMP Get 要求に対する不適切な応答 1.3.6.1.2.1.1.2.0 |
|
FTD:システムの負荷が比較的低い状態で AAB が snort を強制的に再起動することがある |
|
フェールオーバーが「新規アクティブ」に移行しているときに to-the-box トラフィックがデータ インターフェイスの外にルーティングされる |
|
インターフェイスの MAC アドレスの変更時にフローオフロードのリライト ルールが更新されない |
|
デフォルトのアイデンティティ レルム EOs が欠落しているためアップグレードに失敗する |
|
ファントム SSL オブジェクトとセンサーへの空の展開 |
|
下位のデバッグ レベルでクライアントの hello 送信情報が必要 |
|
show service-policy inspect gtp pdp-context detail 実行時の SSH でのトレースバック |
|
外部データベースが Firepower Management Center からの接続イベントをクエリできない |
|
cloud-sa.amp.sourcefire.com から cloud-sa.amp.cisco.com に移行する必要がある |
|
(2/2)SFDataCorrelator(センサー上)の user_id/user_group ブロードキャストの高メモリ使用率 |
|
appid が NetBIOS トラフィックを処理するときに Snort が大量のメモリを使用する |
|
Firepower Management Center の変更調整レポートで特定のフィールドに空白がある |
|
SSL インスペクション TLS 1.3 のダウングレードでは、クライアント/サーバのランダム値を RFC 準拠に変更する必要がある |
|
Firepower デバイスが完全なリカバリに入ると、ネットワーク カードから定期的にビジーが返される |
|
show memory binsize および show memory top-usage で正しい情報が表示されない(修正完了) |
|
OS 脆弱性マップの初期化中に SFDC が繰り返し終了する |
|
不正な実行ファイルのため SSEConnector が起動しない |
|
HTTPS セッションが HW SSL でロードされずにタイムアウトする場合がある |
|
Internet Explorer または Edge を使用しているときに SSL ページがロードされない |
|
6.2.2 Firepower Threat Defense デバイスにハイ アベイラビリティの中断を強制すると、エラーが発生して展開が失敗する |
|
ペア環境でデバイスの実行コンフィギュレーションを取得できなかったため、ポリシーの展開が失敗する可能性がある |
|
多数のローカル ルールがある .sfo ファイルのインポートに 170 時間以上かかる |
|
シェル アプリケーションがサーバから新しい接続のピンホールを開かない |
|
大きな ACL のブート時のコンパイルに時間がかかり機能停止が生じる |
|
Management Center のペア: Manage_procs.pl により管理対象デバイス上の cluster.conf ファイルが破損する |
|
ASAv や FTDv の展開が Microsoft Azure で失敗したりコンソールの応答が遅くなったりする |
|
レイヤ 3 および 4 のクライアント hello ダイジェストが 2 回処理され、メモリ リークが発生する |
|
破損したレコードであるとレポートされたネゴシエーション済みのバージョンとは異なる TLS バージョンの SSL アラート |
|
多くのファイル イベントを含むファイル マルウェア攻撃中にイベント処理が遅くなる |
|
ASA クラスタ:NAT と高トラフィックにおける CCL でのトラフィック ループ |
|
OpenLDAP レルム/サーバを使用したリモート アクセス VPN で正しいネーミング属性が使用されない |
不具合 ID | タイトル |
---|---|
キャッシュの不一致によりブロックされたセッションの新しいクライアント hello フラグ |
|
AVT:ASA 9.5.2 の Content-Security-Policy ヘッダーの欠落 |
|
ASA ポリシーマップ設定がクラスタのスレーブに複製されない |
|
Firepower Threat Defense でインテリジェント アプリケーション バイパスのドロップ率が機能しない |
|
キャプチャ実行中に DATAPATH スレッドでトレースバックする |
|
vms.db の eoattributes テーブル内の未使用データをクリーンアップしてバックアップ ファイルのサイズを削減するためにプルーニングを使用する |
|
ポートチャネルのサブ インターフェイス不一致のデフォルト DLY 値 |
|
トランスペアレント ASA で IPv6 アドレスにより ICMP/Telnet トラフィックが失敗する |
|
L2FW を通過する IPv6 プロトコルの 112 個のパケットが無効な IP 長メッセージでドロップされている |
|
Firepower Threat Defense デバイスが Nexus 9000 を使用して ERSPAN を確立できない |
|
REST API の完全バックアップを介して設定を実行している ASA に指定されたコンテキスト設定が含まれていない |
|
アクセスグループ設定の削除後に FQDN オブジェクトが解決される |
|
REST-API が特定のクエリに対して空の応答を返す |
|
デュアル ISP とバックアップ IPSEC トンネルを使用した DHCP リレーによりフラップが発生する |
|
capture コマンドで match キーワードを使用すると、キャプチャで IPv6 トラフィックが無視される |
|
レイヤ 2 トラフィックはインスペクションのために Snort に送信するようにハードコーディングされてはならない |
|
アイデンティティ ポリシーでネットワーク グループ オブジェクトが使用されている場合の Threat Defense デバイスの誤った設定 |
|
サーバの IP アドレスが変更されるとセッションが再開する場合の SSL エラー |
|
IPv6 から IPv4 への NAT 変換の実行後に ASA が暗号化に失敗する |
|
Cisco Firepower Threat Defense ソフトウェアの SSL Denial of Service(DoS)脆弱性 |
|
単一のインライン セットを複数回通過すると SSL 接続の完了に失敗する |
|
ASA ペア:IPv6 スタティック/接続ルートがアクティブ/スタンバイ ペア間で同期/複製されない |
|
stuck uauth のエントリが AnyConnect ユーザ接続を拒否する |
|
REST-API:500 Internal Server Error |
|
同じユーザが複数のグループの一部で、その共通名にコンマ(,)が含まれている場合、ユーザ/グループのダウンロードが失敗する |
|
Management Center の内部エラーにより、ポリシー展開の失敗を引き起こす自動 NAT ルールが作成される |
|
Firepower Management Center でのカスタム SI フィードの更新が管理対象デバイスに伝搬されない |
|
SecGW:ASR 中のデータ損失 |
|
セッションが同じ IP アドレスから確立されているが、レルムが異なる場合、セッションは管理対象デバイスでアクティブなままになる可能性がある |
|
多くのユーザ/グループ マッピングがある場合、6.2.2.1 でユーザ/グループをダウンロードするのに時間がかかる |
|
「Internal Error is preventing Policy Validation」のため、アクセス コントロール ポリシーを保存できない |
|
ASA 9.6(4):WebVPN ページが正しくロードされていない |
|
ユーザ情報が mysql と sybase 間で一致しない場合、ユーザ侵害の兆候を削除できない |
|
HW モード:再開されたセッションが復号されない場合、SSL エラーが発生する可能性がある |
|
pki ハンドル:増加し、減少しない |
|
アクセス コントロール ポリシーの変更を展開する際に Snort が再起動する |
|
合計メモリが 4 GB のデバイスでセキュリティ インテリジェンス URL フィード向けのメモリ容量を増やす必要がある |
|
SMTP:SMTP mempool を割り当てられなかったため、ポリシーの適用に失敗し、Snort が停止した |
|
(1/2)SFDataCorrelator(センサー上)の user_id/user_group ブロードキャストの高メモリ使用率 |
|
カスタム SI DNS フィードがセカンダリ Firepower Management Center に同期されない |
|
クラシック ライセンスを使用して多数のデバイスを管理する場合の Firepower Management Center UI の遅延 |
|
Management Center:IGMP が設定されているが有効になっていないインターフェイスで、IGMP が有効になる |
|
ファイルが空の場合、アクション キュー内のエントリで同期に失敗する(ファイルを開くことができない) |
|
クラスタ:インターフェイスのダウンからアップへのシナリオにおける ifc monitor debounce-time の拡張 |
|
RAVPN が必要とするポートを通知する Firepower Management Center UI でのメッセージング |
|
デフォルトのアイデンティティ レルム EOs が欠落しているためアップグレードに失敗する |
|
ASA は MOBIKE に応答するが、DPD が原因で SA をクリアする |
|
ssl_debug 設定を変更するには、検出エンジンを再起動する必要がある |
|
ASA:zonelabs-integrity:Process Integrity FW task によるトレースバックと高 CPU |
|
Firepower の推奨事項と共有ポリシー レイヤを使用して侵入ポリシーを保存できない |
|
ASA:リロード後にデバイスが SSL サーバ証明書パケットで ID 証明書のみを送信する |
|
action_queue クエリに起因するパフォーマンスへの影響 |
|
CWE-20:不適切な入力検証 |
|
トレースバック:スレッド名:IPsec message handler |
|
スレッド名 DATAPATH-14-17303 での ASA のトレースバック |
|
従来の集中型 VPN クラスタリング向けの Firepower Threat Defense クラスタの S2S VPN サポート |
|
Firepower Management Center ペアでデバイス登録クエリが頻繁に発生するため、速度が遅くなる |
|
portal-access-rule が deny から permit に変更される |
|
低速の Firepower Management Center で古いホスト情報をタイムアウトするときの SFDataCorrelator コア |
|
Firepower Threat Defense 2100 ASA の原因不明のトレースバック |
|
show memory コマンドが返す使用中のメモリ量が少ない |
|
ASA のメモリ リーク:snp_svc_insert_dtls_session |
|
Firepower 推奨アップデート タスクが実行されない |
|
Firepower Threat Defense 2130-ASA-K9 での ASA のトレースバック |
|
ASA portchannel lacp max-bundle 1 hot-sby ポートがリンク障害後にアップ状態にならない |
|
ScanSafe 機能が HTTPS トラフィックに対してまったく機能しない |
|
ASA モジュールにより生成される SACK パケットの SLE 値と SRE 値を ASA が非ランダム化しない |
|
5 番目のルートを追加する際の、8 つの等価コスト ルートのみが許可されることに関する Management Center エラー |
|
送信元ポートがすぐに再利用されると、ssl インスペクションが中断する可能性がある |
|
bgp ネイバー CLI の順序が間違っているため、ポリシーの展開が失敗する |
|
cli_xml_server スレッドでのトレースバック |
|
show service-policy inspect gtp pdp-context detail 実行時の SSH でのトレースバック |
|
アクティブ ASA での NetFlow 設定がスタンバイ ユニットで逆順に複製される |
|
EKU の無効な目的が原因で、Firepower Threat Defens が syslog サーバの TLS-X509 証明書を拒否する |
|
XFF データのクリア中に Snort プロセスが終了する |
|
1550 ブロックの枯渇による ASA のリロード |
|
JS ファイルでのクライアント リライターの問題により Web ページがロードされない |
|
[Deploy] タブにデバイス リストが入力されるのが遅い |
|
不正な実行ファイルのため SSEConnector が起動しない |
|
webvpn:Firefox と Chrome でブックマークのレンダリングが失敗する。IE では問題なし |
不具合 ID | タイトル |
---|---|
ASA が log disable オプションを使用して ACE を削除できない |
|
AVT:ASA 9.5.2 での X-Content-Type-Options の欠落 |
|
ASA show tech の一部のコマンドが 2 回実行され、running-config/ak47 detailed/startup-config エラーが表示される |
|
CSCvb29688 に対する修正にもかかわらず、9.1 コードで古い VPN コンテキストに関する問題が確認された |
|
WebVPN と共有 storage-url config でのフェールオーバー同期時の ASA のトレースバック |
|
送受信したバイト数と IP アドレス スイッチに NetFlow が大きな値を返す |
|
エラー:暗号マップを作成できない:エントリを追加するときに上限に到達する |
|
ASA:962 へのアップグレード後の ICMPv6 syslog メッセージ |
|
PAT プールの範囲が非常に大きいことによるスタンバイ ASA の 高い CPU 使用率 |
|
DATAPATH プロセスと WebVPN プロセス間でのデッドロックによる ASA のトレースバック |
|
1550 ブロックの枯渇による ASA のトレースバック |
|
9.9.1/SecGW:Firepower 4100 の 1 秒未満のフェールオーバーにより、10 ~ 20 % のパケット損失が数分間発生する場合がある |
|
NAT 検出ペイロードを使用した DPD により Strongswan/サード パーティ クライアントとの IKEv2 MOBIKE セッションが失敗する |
|
ソフトウェア DHE で ASA TLS クライアントの接続が失敗する |
|
コンテキスト変更/設定の同期時に ASA のウォッチドッグがトレースバックする |
|
ASA:インスペクションが有効になっているときにゾーン内に設定されたインターフェイスで ICMP フローが no-adjacency によりドロップする |
|
FTP アクティブ モードの Firepower 2100 クライアントがサーバとのコントロール チャネルを確立できない |
|
6.2.3 の実行中に生成された Snort コア |
|
SNORT の User-ID コンポーネントのメモリ使用率が、10 M の予約済み制限を超えている |
|
DHCP 送信中の ASA が DHCP を介して AC クライアントへのアドレスの割り当てを拒否するか、または割り当てない |
|
ASA5500 シリーズのファイアウォールのアップグレードによりブート ループが発生する(ROMMON を通過できない) |
|
9.6.3.1 上で ASA がトレースバックし、ブート ループの状態になる |
|
デフォルト以外の SSL コマンドがリブート時に Firepower 4100 から削除される |
|
ASA:スレッド名 UserFromCert でのトレースバック |
|
ASA での CWS リダイレクションが特定の状況で SSL Client Hello の再送信を適切に処理しない |
|
Do-Not-Decrypt SSL ポリシー アクションで一部の SSL 接続が低速になるか、失敗する |
|
DATAPATH がコンパイル中の ACL 構造体にアクセスするとウォッチドッグのタイムアウトにより ASA がトレースバックし、リロードする |
|
VPN コンテキストのスピン ロックの解放中に ASA 9.7.1.15 がトレースバックする |
|
IKEv1 RRI:応答専用のリバース ルートがフェーズ 1 のキー再生成中に削除される |
|
Sourcefire.agent_messages テーブルが大きくなり、エージェント メッセージが消費されなくなる |
|
WebVPN リライター:BMC Remedy でドロップダウン メニューが機能しない |
|
ASA カットスルー プロキシでユーザは Web サイトにアクセスできるが「authentication failed」が表示される |
|
ASA が show memory 出力の下に正確な空きメモリを報告しない |
|
snmpv1&2c ホスト グループが設定されていると snmpwalk を実行できない |
|
シェル アプリケーションがデータ転送用の新しい tcp ポートのピンホールを適切に開かない |
|
[static route] ページから SLA モニタを作成できない |
|
Azure:クラウド ハイ アベイラビリティを実行している ASAv がウォッチドッグ クラッシュ ループになる |
|
IKEv1 RRI:発信専用のリバース ルートがフェーズ 1 のキー再生成中に削除される |
|
sfdatacorrelator プロセスが継続的に予期せず終了する |
|
webvpn でのメモリ リーク |
|
復号を指定する URL カテゴリ ルールがある SSL ポリシーによってブラウザ エラーが発生する可能性がある |
|
ハードウェア モードの SSL インスペクションとマルウェア防御で、安全なファイル転送が失敗することがある |
|
再開されたセッションが復号されない場合、SSL エラーが発生する可能性がある |
|
フェールオーバー後のゼロ化 RSA キーにより REST API がシステム コンテキストへの変更に失敗する |
|
PIM 自動 RP パケットがクラスタ マスターのスイッチオーバー後にドロップされる |
|
異なる AD の同じグループがダウンロードされない |
|
Firepower Management Center:変更調整レポートが断続的に失敗する |
|
ASA:netsnmp:Snmpwalk がホストグループの一部の IP グループで失敗する。 |
|
デバイスがそれ自体をクラスタから削除すると不正な更新が実行される |
|
ASA が DATAPATH スレッドでトレースバックを生成する |
|
Firepower 2100 シリーズ デバイスでの予期しないエラー |
|
多数のインターフェイスと QoS により show service-policy の出力時に ASA がトレースバックする |
|
FIPS モードの TLS では、ASA 自己署名 RSA 証明書が許可されない |
|
ASA が any キーワードが設定されている ACL で IPv6 トラフィックを正しく照合しない |
|
関連付けられたネットワーク オブジェクトでオブジェクトの説明が展開されない |
|
Firepower デバイスは Threat Grid 証明書を信頼する必要がある |
|
一部の相関ポリシー ルールを保存するときの Error 500 |
|
eStreamer による CPU 使用率が 100 % の場合 、ファイル/FireAMP イベントが有効化されているとイベント処理が遅くなる |
|
クラスタ:インターフェイスのダウンからアップへのシナリオにおける ifc monitor debounce-time の拡張 |
|
ASA PKI OCSP 障害:CRYPTO_PKI:OCSP 応答データの復号化に失敗した |
|
非 SSL トラフィックが原因で SSL インスペクションが失敗する |
|
ScanSafe 機能が HTTPS トラフィックに対してまったく機能しない |
|
Sybase の問題の回避策:snort エンジンの更新後、ポリシーの展開が突然失敗する |
不具合 ID | タイトル |
---|---|
ルールのセキュリティ ゾーンを変更した後、デルタ設定の生成中に NAT ポリシーの展開が失敗した |
|
debug menu セルフ テストの実行時に glib/g_slice で ASA がクラッシュする |
|
アクション キューでユーザ主導型展開タスクの優先順位を付ける方法が必要 |
|
Cisco ASA SW、FTD SW、および AnyConnect セキュア モビリティ クライアントの SAML 認証セッション固定の脆弱性 |
|
Apache/Struts 関連の脆弱性に対する FireSIGHT / FirePOWER の評価 |
|
OpenLDAP レルム/サーバを使用したリモート アクセス VPN で正しいネーミング属性が使用されない |
|
ASA モジュールにより生成される SACK パケットの SLE および SRE の値を ASA が非ランダム化しない |
|
SSL インスペクションが有効になっている TLS 1.3 を使用した Web サイト(メール サイトなど)のロードが失敗する |
|
AC を使用するエンド ポイントで外部ブラウザによるレガシー方式 SAML 認証をサポートするための新しい CLI |
|
VPN 経由のフラグメント化されたトラフィックにより 2048 バイト ブロックのリークが遅くなる |
|
SSL により Firepower Threat Defense デバイス上の ASA がトレースバックする |
|
8000 シリーズ ペア デバイスでの IPv6 アドレスのフェールオーバーが成功しない場合がある |
|
Cisco 適応型セキュリティ アプライアンスの Denial of Service(DoS)脆弱性 |
|
[Deploy] ボタンと通知のレンダリングを許可するには、不正な形式の JSON を捕捉する必要がある |
|
Cisco 適応型セキュリティ アプライアンスにおけるサービス拒否攻撃に対する脆弱性 |
|
Cisco 適応型セキュリティ アプライアンスにおけるサービス拒否攻撃に対する脆弱性 |
|
SFDataCorrelator は重複フローのレートを制限してはならない |
|
NFE に障害が発生すると Snort が常に再起動する |
|
現在のマップの更新中にエラーが発生したため、管理対象デバイスでユーザ - IP マッピングが更新されない |
|
ASA FirePOWER モジュール(5585-x)を 6.2.2.2 から 6.2.2.1 にダウングレードする際に FSIC が失敗した |
|
SSL 復号化が有効になっていて、HTTP 要求が TCP セグメント化されている場合、Snort が URI を正しくキャプチャしない |
|
アップグレード後、Firepower 4100 のホスト名が SFCLI のホスト名と異なる |
|
sfipproxy がハイ アベイラビリティ ペアに登録されていると、センサーに正しく書き込まれない場合がある |
|
デルタの最後の CLI でエラーが発生した場合、展開トランスクリプトで失敗したコマンドが示されない |
|
Cisco Firepower 2100 シリーズ POODLE TLS セキュリティ スキャナのアラート |