Cisco ASA シリーズ 9.4(x) リリースノート
このドキュメントには、Cisco ASA ソフトウェアバージョン 9.4(x) のリリース情報が記載されています。
特記事項
-
潜在的なトラフィック停止(9.4(3.11) ~ 9.4(4)):バグ CSCvd78303 が原因で、ASA は 213 日間の稼働時間後にトラフィックの受け渡しを停止する可能性があります。各ネットワークへの影響は異なりますが、接続が制限されるという問題や、通信の停止といったより大きな問題が発生する可能性もあります。可能な場合は、このバグがない新しいバージョンにアップグレードする必要があります。それまでは、ASA を再起動することでさらに 213 日間稼働させることができます。別の回避策を利用できる場合もあります。影響を受けるバージョンおよび詳細については、Field Notice FN-64291 を参照してください。
-
ASA 5506H-X の場合、ASA バージョン 9.5(2) にアップグレードすると、正しいライセンスレベルが適用されます。以前のバージョンの ASA では、ASA 5506-X 基本ライセンスと同じライセンスが適用されます。以前のバージョンでは、シスコに連絡して ASA 5506-X Security Plus ライセンスを受け取ることができます。これは、正しい ASA 5506H-X 基本ライセンスと同等です。または、単に 9.5(2) にアップグレードします。
-
ユニファイド コミュニケーション電話プロキシと Intercompany Media Engine プロキシは非推奨:ASA バージョン 9.4 では、電話プロキシと IME プロキシはサポートされなくなりました。
-
SSL/TLS の楕円曲線暗号化:楕円曲線対応 SSL VPN クライアントが ASA に接続すると、楕円曲線暗号スイートがネゴシエートされ、対応するインターフェイスが RSA ベースのトラストポイントで設定されている場合でも、ASA は、楕円曲線証明書を使用して SSL VPN クライアントを表示します。ASA が自己署名 SSL 証明書を提示しないようにするために、対応する暗号スイートを管理者が ssl cipher コマンドを使用して削除する必要があります。たとえば、RSA トラストポイントが設定されたインターフェイスの場合、管理者は次のコマンドを実行して、RSA ベースの暗号のみがネゴシエートされるようにできます。
ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA: DES-CBC-SHA:RC4-SHA:RC4-MD5" -
ASA 9.x で使用する RSA ツールキットのバージョンは、ASA 8.4 で使用されたバージョンとは異なるため、これらの 2 つのバージョン間で PKI の動作に違いが生じます。
たとえば、9.x ソフトウェアを実行している ASA では、フィールド長が 73 文字までの [Organizational Name Value](OU)フィールドをもつ証明書のインポートが許可されます。8.4 ソフトウェアを実行している ASA では、60 文字までの OU フィールド名をもつ証明書のインポートが許可されます。この相違のため、ASA 9.x でインポートできる証明書を ASA 8.4 ではインポートできません。ASA 9.x 証明書をバージョン 8.4 を実行している ASA にインポートしようとすると、エラー「ERROR: Import PKCS12 operation failed.」が表示されます。
システム要件
このセクションでは、このリリースを実行するためのシステム要件を一覧表で示します。
ASA と ASDM の互換性
ASA/ASDM ソフトウェアおよびハードウェアの要件およびモジュールの互換性を含む互換性の詳細については、『Cisco ASA Compatibility』を参照してください。
VPN の互換性
VPN の互換性については、『Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。
新機能
このセクションでは、各リリースの新機能を示します。
 (注) |
syslog メッセージガイドに、新規、変更済み、および廃止された syslog メッセージを記載しています。 |
ASA 9.4(4.5) の新機能
リリース:2017年4月3日
(注) |
このリリースに新機能はありません。
ASA 9.4(3) の新機能
リリース:2016年4月25日
|
機能 |
説明 |
||
|---|---|---|---|
|
ファイアウォール機能 |
|||
|
ルートの収束に対する接続ホールドダウンタイムアウト |
接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。 次のコマンドが追加されました。timeout conn-holddown |
||
|
リモート アクセス機能 |
|||
|
設定可能な SSH 暗号機能と HMAC アルゴリズム |
ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。 次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity。 9.1(7) でも使用可能です。 |
||
|
IPv6 の HTTP リダイレクト サポート |
ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。 次のコマンドに機能が追加されました。http redirect 9.1(7) でも使用可能です。 |
||
|
モニタリング機能 |
|||
|
フェールオーバーの SNMP engineID の同期 |
フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。 SNMPv3 ユーザは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザごとに 2 つずつ表示されます。 次のコマンドが変更されました。snmp-server user |
||
|
show tech support の強化 |
show tech support コマンドは現在次のとおりです。
次のコマンドが変更されました。show tech support 9.1(7) でも使用可能です。 |
||
|
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート |
CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。
追加または変更されたコマンドはありません。 9.1(7) でも使用可能です。 |
||
ASA 9.4(2.145) の新機能
リリース:2015年11月13日
このリリースに新機能はありません。
(注) |
このリリースは Firepower 9300 ASA セキュリティ モジュールのみをサポートします。 |
ASA 9.4(2) の新機能
リリース:2015年9月24日
このリリースに新機能はありません。
(注) |
ASAv 9.4(1.200) の各機能はこのリリースには含まれません。 |
(注) |
このバージョンは ISA 3000 をサポートしません。 |
ASA 9.4(1.225) の新機能
リリース:2015年9月17日
(注) |
このリリースは Cisco ISA 3000 のみをサポートします。 |
|
機能 |
説明 |
|---|---|
|
プラットフォーム機能 |
|
|
Cisco ISA 3000 サポート |
Cisco ISA 3000 は、DIN レールにマウントされた高耐久型の産業用セキュリティ アプライアンスです。ギガビット イーサネットと専用管理ポートを備えた、低消費電型ファンレス デバイスです。このモデルには ASA Firepower モジュールが事前にインストールされています。このモデルの特別な機能として、カスタマイズされたトランスペアレント モードのデフォルト設定と、電源喪失時もトラフィックがアプライアンスを通過することを可能にするハードウェア バイパス機能があります。 次のコマンドが導入されました。hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay、show hardware-bypass この機能は、バージョン 9.5(1) では使用できません。 |
ASA 9.4(1.152) の新機能
リリース:2015年7月13日
(注) |
このリリースは、Firepower 9300 の ASA のみをサポートします。 |
|
機能 |
説明 |
||
|---|---|---|---|
|
プラットフォーム機能 |
|||
|
Firepower 9300 の ASA セキュリティ モジュール |
Firepower 9300 の ASA セキュリティ モジュールに ASA を導入しました。
|
||
|
ハイ アベイラビリティ機能 |
|||
|
Firepower 9300 用シャーシ内 ASA クラスタリング |
FirePOWER 9300 シャーシ内では、最大 3 つセキュリティ モジュールをクラスタ化できます。シャーシ内のすべてのモジュールは、クラスタに属している必要があります。 次のコマンドを導入しました。cluster replication delay、debug service-module、management-only individual、show cluster chassis |
||
|
ライセンシング機能 |
|||
|
Firepower 9300 の ASA のシスコ スマート ソフトウェア ライセンシング |
FirePOWER 9300 に ASA のシスコ スマート ソフトウェア ライセンシングが導入されました。 次のコマンドが導入されました。feature strong-encryption、feature mobile-sp、feature context |
||
ASAv 9.4(1.200) の新機能
リリース:2015年5月12日
(注) |
このリリースは、ASAv のみをサポートします。 |
|
機能 |
説明 |
||
|---|---|---|---|
|
プラットフォーム機能 |
|||
|
VMware 上の ASAv では vCenter サポートは不要になった |
vCenter なしで、vSphere クライアントまたは OVFTool のデイゼロ設定を使用して ASAv を VMware 上にインストールできるようになりました。 |
||
|
Amazon Web Services(AWS)の ASAv |
Amazon Web Services(AWS)とデイゼロ設定で ASAv を使用できるようになりました。
|
||
ASA 9.4(1) の新機能
リリース:2015年3月30日
|
機能 |
説明 |
||
|---|---|---|---|
|
プラットフォーム機能 |
|||
|
ASA 5506W-X、ASA 5506H-X、ASA 5508-X、ASA 5516-X |
ワイヤレス アクセス ポイントを内蔵した ASA 5506W-X、強化された ASA 5506H-X、ASA 5508-X、ASA 5516-X の各モデルが導入されました。 hw-module module wlan recover image、hw-module module wlan recover image の各コマンドが導入されました。 |
||
|
認定機能 |
|||
|
国防総省(DoD)統一機能規則(UCR)2013 証明書 |
ASA は、DoD UCR 2013 規則を遵守するように更新されています。この証明書に追加された次の機能については、この表の行を参照してください。
|
||
|
FIPS 140-2 認証のコンプライアンス更新 |
ASA で FIPS モードを有効にすると、ASA が FIPS 140-2 に準拠するように追加制限が設定されます。次の制限があります。
ASA の FIPS 認証ステータスを表示するには、次の URL を参照してください。 http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf この PDF は毎週更新されます。 詳細については、Computer Security Division Computer Security Resource Center のサイトを参照してください。 http://csrc.nist.gov/groups/STM/cmvp/inprocess.html fips enable コマンドが変更されました。 |
||
|
ファイアウォール機能 |
|||
|
複数のコアを搭載した ASA での SIP インスペクションのパフォーマンスが向上 |
複数のコアで ASA を通過する SIP シグナリングチングが複数存在する場合の SIP インスペクション パフォーマンスが向上しました。ただし、TLS、電話、または IME プロキシを使用する場合、パフォーマンスの向上は見られません。 変更されたコマンドはありません。 |
||
|
電話プロキシおよび UC-IME プロキシに対する SIP インスペクションのサポートが削除された |
SIP インスペクションを設定する際、電話プロキシまたは UC-IME プロキシは使用できなくなります。暗号化されたトラフィックを検査するには、TLS プロキシを使用します。 phone-proxy、uc-ime の各コマンドが削除されました。inspect sip コマンドから phone-proxy キーワードと uc-ime キーワードが削除されました。 |
||
|
ISystemMapper UUID メッセージ RemoteGetClassObject opnum3 の DCERPC インスペクションのサポート |
ASA は、リリース 8.3 で EPM 以外の DCERPC メッセージのサポートを開始し、ISystemMapper UUID メッセージ RemoteCreateInstance opnum4 をサポートしています。この変更により、RemoteGetClassObject opnum3 メッセージまでサポートが拡張されます。 変更されたコマンドはありません。 |
||
|
コンテキストごとに無制限の SNMP サーバ トラップ ホスト |
ASA では、コンテキストごとに SNMP サーバのトラップ ホスト数の制限がありません。show snmp-server host コマンドの出力には ASA をポーリングしているアクティブなホストと、静的に設定されたホストのみが表示されます。 show snmp-server host コマンドが変更されました。 |
||
|
VXLAN パケット インスペクション |
ASA は、標準形式に準拠するために VXLAN ヘッダーを検査できます。 inspect vxlan コマンドが導入されました。 |
||
|
IPv6 の DHCP モニタリング |
IPv6 の DHCP 統計情報および DHCP バインディングをモニタできます。 |
||
|
ESMTP インスペクションの TLS セッションでのデフォルトの動作が変更された |
ESMTP インスペクションのデフォルトが、検査されない、TLS セッションを許可するように変更されました。ただし、このデフォルトは新しい、または再イメージングされたシステムに適用されます。no allow-tls を含むシステムをアップグレードする場合、このコマンドは変更されません。 デフォルトの動作の変更は、古いバージョンでも行われました:8.4(7.25)、8.5(1.23)、8.6(1.16)、8.7(1.15)、9.0(4.28)、9.1(6.1)、9.2(3.2)、9.3(1.2)、9.3(2.2)。 |
||
|
ハイ アベイラビリティ機能 |
|||
|
スタンバイ ASA での syslog 生成のブロック |
スタンバイ装置で特定の syslog の生成をブロックできます。 no logging message syslog-id standby コマンドが導入されました。 |
||
|
インターフェイスごとに ASA クラスタのヘルス モニタリングをイネーブルまたはディセーブル |
ヘルス モニタリングは、インターフェイスごとにイネーブルまたはディセーブルにすることができます。デフォルトでは、ポートチャネル、冗長、および単一のすべての物理インターフェイスでヘルス モニタリングがイネーブルになっています。ヘルス モニタリングは VLAN サブインターフェイス、または VNI や BVI などの仮想インターフェイスでは実行されません。クラスタ制御リンクのモニタリングは設定できません。このリンクは常にモニタされています。たとえば、管理インターフェイスなど、必須以外のインターフェイスのヘルス モニタリングをディセーブルにすることができます。 health-check monitor-interface コマンドが導入されました。 |
||
|
DHCP リレーの ASA クラスタリングのサポート |
ASA クラスタで DHCP リレーを設定できます。クライアントの DHCP 要求は、クライアントの MAC アドレスのハッシュを使用してクラスタ メンバにロードバランスされます。DHCP クライアントおよびサーバ機能はサポートされていません。 debug cluster dhcp-relay コマンドが導入されました。 |
||
|
ASA クラスタリングでの SIP インスペクションのサポート |
ASA クラスタで SIP インスペクションを設定できます。制御フローは、任意のユニットで作成できますが(ロード バランシングのため)、その子データ フローは同じユニットに存在する必要があります。TLS プロキシ設定はサポートされていません。 show cluster service-policy コマンドが導入されました。 |
||
|
ルーティング機能 |
|||
|
Policy Based Routing:ポリシー ベース ルーティング |
ポリシーベース ルーティング(PBR)は、ACL を使用して指定された QoS でトラフィックが特定のパスを経由するために使用するメカニズムです。ACL では、パケットのレイヤ 3 および レイヤ4 ヘッダーの内容に基づいてトラフィックを分類できます。このソリューションにより、管理者は区別されたトラフィックに QoS を提供し、低帯域幅、低コストの永続パス、高帯域幅、高コストのスイッチド パスの間でインタラクティブ トラフィックとバッチ トラフィックを分散でき、インターネット サービス プロバイダーとその他の組織は明確に定義されたインターネット接続を介して一連のさまざまなユーザから送信されるトラフィックをルーティングできます。 set ip next-hop verify-availability、set ip next-hop、set ip next-hop recursive、set interface、set ip default next-hop、set default interface、set ip df、set ip dscp、policy-route route-map、show policy-route、debug policy-route の各コマンドが導入されました。 |
||
|
インターフェイス機能 |
|||
|
VXLAN のサポート |
VXLAN のサポートが追加されました(VXLAN トンネル エンドポイント(VTEP)のサポートを含む)。ASA またはセキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを定義できます。 次のコマンドが導入されました。debug vxlan、default-mcast-group、encapsulation vxlan、inspect vxlan、interface vni、mcast-group、nve、nve-only、peer ip、segment-id、show arp vtep-mapping、show interface vni、show mac-address-table vtep-mapping、show nve、show vni vlan-mapping、source-interface、vtep-nve、vxlan port |
||
|
モニタリング機能 |
|||
|
EEM のメモリ トラッキング |
メモリの割り当てとメモリの使用状況をログに記録してメモリ ロギングのラップ イベントに応答するための新しいデバッグ機能が追加されました。 次のコマンドが導入または変更されました。memory logging、show memory logging、show memory logging include、event memory-logging-wrap |
||
|
トラブルシューティングのクラッシュ |
show tech-support コマンドの出力と show crashinfo コマンドの出力には、生成された syslog の最新 50 行が含まれます。これらの結果を表示できるようにするには、logging buffer コマンドをイネーブルにする必要があります。 |
||
|
リモート アクセス機能 |
|||
|
ECDHE-ECDSA 暗号のサポート |
TLSv1.2 では、次の暗号のサポートが追加されています。
ssl ecdh-group コマンドが導入されました。 |
||
|
クライアントレス SSL VPN セッション Cookie アクセスの制限 |
クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにすることができます。
http-only-cookie コマンドが導入されました。 この機能は、9.2(3) にもあります。 |
||
|
セキュリティ グループ タギングを使用した仮想デスクトップのアクセス制御 |
ASA では、内部アプリケーションおよび Web サイトへのクライアントレス SSL リモート アクセス用にセキュリティ グループ タギングベースのポリシー制御をサポートしています。この機能では、配信コントローラおよび ASA のコンテンツ変換エンジンとして XenDesktop による Citrix の仮想デスクトップ インフラストラクチャ(VDI)を使用します。 詳細については、次の Citrix 製品のマニュアルを参照してください。
|
||
|
クライアントレスSSL VPN に OWA 2013 機能のサポートを追加 |
クライアントレス SSL VPN では、以下を除き、OWA 2013 の新機能をサポートしています。
変更されたコマンドはありません。 |
||
|
クライアントレスSSL VPN に Citrix XenDesktop 7.5 および StoreFront 2.5 のサポートを追加 |
クライアントレス SSL VPN では、XenDesktop 7.5 および StoreFront 2.5 のアクセスをサポートしています。 XenDesktop 7.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/xenapp-xendesktop-75/cds-75-about-whats-new.html を参照してください。 StoreFront 2.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/dws-storefront-25/dws-about.html を参照してください。 変更されたコマンドはありません。 |
||
|
定期的な証明書認証 |
定期的な証明書認証を有効にすると、ASA は、VPN クライアントから受信した証明書チェーンを保存し、それらを定期的に再認証します。 periodic-authentication certificate、revocation-check, show vpn-sessiondb の各コマンドが導入または変更されました。 |
||
|
証明書有効期限のアラート |
ASA は、トラスト ポイントですべての CA および ID の証明書の有効期限について 24 時間ごとにチェックします。証明書の有効期限がまもなく切れる場合は、syslog がアラートとして発行されます。リマインダおよび繰り返しの間隔を設定できます。デフォルトでは、リマインダは有効期限の 60 日前に開始し、7 日ごとに繰り返されます。 crypto ca alerts expiration コマンドが導入または変更されました。 |
||
|
基本制約 CA フラグの適用 |
デフォルトでは、CA フラグのない証明書を CA 証明書として ASA にインストールできなくなりました。基本制約拡張は、証明書のサブジェクトが CA で、この証明書を含む有効な認証パスの最大深さかどうかを示すものです。必要に応じて、これらの証明書のインストールを許可するように ASA を設定できます。 ca-check コマンドが導入されました。 |
||
|
IKEv2 無効セレクタの通知設定 |
現在、ASA が SA 上で着信パケットを受信し、そのパケットのヘッダー フィールドが SA 用のセレクタに適合しなかった場合、ASA はそのパケットを廃棄します。ピアへの IKEv2 通知の送信をイネーブルまたはディセーブルにすることができます。この通知の送信はデフォルトで無効になっています。
crypto ikev2 notify invalid-selectors コマンドが導入されました。 |
||
|
16 進数の IKEv2 事前共有キー |
16 進数の IKEv2 事前共有キーを設定できます。 ikev2 local-authentication pre-shared-key hex、ikev2 remote-authentication pre-shared-key hex の各コマンドが導入されました。 |
||
|
管理機能 |
|||
|
ASDM 管理認証 |
HTTP アクセスと Telnet および SSH アクセス別に管理認証を設定できるようになりました。 次のコマンドが導入されました。 aaa authorization http console |
||
|
証明書コンフィギュレーションの ASDM ユーザ名 |
ASDM の証明書認証(http authentication-certificate)を有効にすると、ASDM が証明書からユーザ名を抽出する方法を設定できます。また、ログイン プロンプトでユーザ名を事前に入力して表示できます。 次のコマンドが導入されました。http username-from-certificate |
||
|
CLI で ? の入力時にヘルプを有効または無効にするための terminal interactive コマンド |
通常、ASA CLI で ? を入力すると、コマンド ヘルプが表示されます。コマンド内にテキストとして ? を入力できるようにするには(たとえば、URL の一部として ? を含めるには)、no terminal interactive コマンドを使用してインタラクティブなヘルプを無効にします。 次のコマンドが導入されました。terminal interactive |
||
|
REST API の機能 |
|||
|
REST API バージョン 1.1 |
REST API バージョン 1.1 のサポートが追加されました。 |
||
|
トークンベース認証が(既存の基本認証に加えて)サポートされるようになりました。 |
クライアントは特定の URL にログイン要求を送信でき、成功すると、(応答ヘッダーに)トークンが返されます。クライアントはさらなる API コールを送信するために、(特別な要求ヘッダー内で)このトークンを使用します。トークンは明示的に無効にするまで、またはアイドル/セッション タイムアウトに到達するまで有効です。 |
||
|
マルチ コンテキスト モードの限定的なサポート |
REST API エージェントをマルチ コンテキスト モードで有効にできるようになりました。CLI コマンドはシステム コンテキスト モードでのみ発行できます(シングル コンテキスト モードと同じコマンド)。 次のようにパススルー CLI の API コマンドを使用して、コンテキストを設定できます。 context パラメータがない場合、要求は admin コンテキストに向けられたものとみなされます。 |
||
|
高度な(粒状の)インスペクション |
次のプロトコルの詳細なインスペクションをサポートします。
|
||
ソフトウェアのアップグレード
このセクションには、アップグレードを完了するためのアップグレード パス情報とリンクが記載されています。
ASA のアップグレード パス
現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。
-
CLI:show version コマンドを使用します。
-
ASDM: の順に選択します。
次の表で、お使いのバージョンのアップグレード パスを参照してください。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要な場合があります。推奨バージョンは太字で示されています。
|
現在のバージョン |
暫定アップグレード バージョン |
ターゲット バージョン |
|---|---|---|
|
9.3(x) |
— |
次のいずれかになります。 → 9.4(x) → 9.3(x) |
|
9.2(x) |
— |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) |
|
9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4) |
— |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
|
9.1(1) |
→ 9.1(2) |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
|
9.0(2)、9.0(3)、または 9.0(4) |
— |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
|
9.0(1) |
→ 9.0(2)、9.0(3) または 9.0(4) |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
|
8.6(1) |
→ 9.0(2)、9.0(3) または 9.0(4) |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
|
8.5(1) |
→ 9.0(2)、9.0(3) または 9.0(4) |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
|
8.4(5+) |
— |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
|
8.4(1) ~ 8.4(4) |
次のいずれかになります。 → 9.0(2)、9.0(3) または 9.0(4) → 8.4(6) |
→ 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
|
8.3(x) |
→ 8.4(6) |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
|
8.2(x) 以前 |
→ 8.4(6) |
次のいずれかになります。 → 9.4(x) → 9.3(x) → 9.2(x) → 9.1(3)、9.1(4)、9.1(5)、9.1(6)、9.1(7.4) |
アップグレード リンク
アップグレードを完了するには、『ASA Upgrade Guide』を参照してください。
未解決のバグおよび解決されたバグ
このリリースで未解決のバグおよび解決済みのバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコ ハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守する Cisco バグ追跡システムにアクセスできます。
(注) |
Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントがない場合は、アカウントを登録できます。シスコ サポート契約がない場合は、ID でのみバグを探すことができます。検索は実行できません。 |
Cisco Bug Search Tool の詳細については、Bug Search Tool Help & FAQ を参照してください。
バージョン 9.4(x) で未解決のバグ
シスコサポート契約がある場合は、次のダイナミック検索を使用して、バージョン 9.4(x) で重大度 3 以上のすべての未解決のバグを検索できます。
次の一覧表は、このリリースノートの発行時点で未解決のバグです。
|
ID |
説明 |
|---|---|
|
一括同期操作時のフェールオーバー同期エラー |
|
|
GCM 暗号が使用されていると TLS CTP が TLSv 1.2 で機能しない |
|
|
既存の暗号と重複する暗号 ACE により、トラフィックのブラックホール化が発生する可能性がある |
|
|
「mac-address auto」コマンドがデフォルトで有効にならない |
|
|
ASA での CWS リダイレクションにより HTTPS トラフィックのシーケンス番号が破損することがある |
|
|
トレースバック:スレッド名 fover_health_monitoring_thread で ASA がクラッシュする |
|
|
Alpha:スタンバイ時に LU 割り当て接続の失敗が syslog に出力される |
|
|
ASA5508X で SSD が取り外されている場合でも SSD LED が常に緑色になる |
|
|
しばらくしてからフラッシュ操作が失敗し、設定を保存できない |
|
|
ASA:IPSEC フェールオーバーでフェールオーバー後に IP プロトコル 8 のパケットが暗号化されない |
|
|
XMLSoft libxml2 のエンコーディング変換に関するサービス妨害(Dos)の脆弱性 |
|
|
XMLSoft libxml2 の xmlParserInputGrow 関数に関するサービス妨害(Dos)の脆弱性 |
|
|
XMLSoft libxml2 の XML エンティティ処理に関するサービス妨害(Dos)の脆弱性 |
|
|
XMLSoft libxml2 の xmlNextChar 関数に関するメモリ破損の脆弱性 |
|
|
XMLSoft libxml2 の xmlParseXMLDecl 関数に関するサービス妨害(Dos)の脆弱性 |
|
|
クライアントレス SSL VPN CIFS ストレステスト:ramfs_webvpn_file_open トレースバック |
|
|
ASA:アップグレード後に inspect ipsec-pass-thru が機能しない |
|
|
ACL 要素の削除時のトレースバック |
|
|
9.4.2.11 のアップグレード後に認証が失敗する |
|
|
libxml2 の htmlParseNameComplex() 関数に関するサービス妨害(Dos)の脆弱性 |
|
|
DATAPATH スレッドでのページフォールト、rip snp_fp |
|
|
ASA:管理インターフェイスでの OSPF ネイバーシップの障害 |
|
|
パケットが PBR および WCCP ルールに達したときの 112 バイト bin でのメモリリーク |
|
|
XMLSoft libxml2 の xmlStringGetNodeList 関数に関するメモリ枯渇の Dos |
|
|
SSH スレッドでの ASA トレースバック |
|
|
アップグレード後に共有ライセンスサーバでローカルの使用状況として -939704796 が表示される |
|
|
Kenton 9.5.1 で「boot system/boot config」コマンドがリロード後に保持されない |
|
|
ASA:スレッド名 Session Manager でのトレースバック |
|
|
スレッド名 ssh での ASA トレースバック |
|
|
100M の全二重パートナーへの接続時における ASA 5506 製品の電源投入に関する問題 |
|
|
インターフェイス ヘルスチェックのフェールオーバーにより、OSPF が ASA を ABR としてアドバタイズしなくなる |
|
|
IPv6 ネイバー探索のパケット処理の動作 |
|
|
ASA/SFR データプレーンのダウン(2048 ブロックの枯渇) |
|
|
TCP 接続数が負の数として表示される - MPF ポリシーがすべての TCP 要求をブロックする |
|
|
IKEv2:データキー再生成の衝突により非アクティブな IPsec SA がスタックする可能性がある |
|
|
アップグレード後の CP Processing スレッドでのクラッシュ |
|
|
CTM メッセージハンドラが原因で ASA 9.4.2.6 の CPU 使用率が高くなる |
|
|
スレッド名 ci/console でのトレースバック:debug menu ctm 103 により ASA がクラッシュする |
|
|
クライアントレス VPN トラフィックについて無効なインターフェイス ID が ASA から SFR に送信される |
|
|
DSCP ビットがサーバから設定されていると、ASA でレート制限が行われない |
|
|
スレッド名 DATAPATH-0-1903 での ASA のクラッシュ |
|
|
セカンダリ ASA が PIM Register メッセージを RP に送信しない |
|
|
ASA ブロック 1550 の枯渇 |
|
|
より小さいメトリックのルートがアドバタイズされた場合に、IPv6 OSPF ルートが更新されない |
解決済みのバグ
このセクションでは、リリースごとに解決済みのバグを一覧表で示します。
バージョン 9.4(4.5) で解決済みのバグ
次の表に、このリリース ノートの発行時点で解決済みのバグを示します。
|
警告 ID 番号 |
説明 |
|---|---|
|
パケットキャプチャにより、spin_lock が原因でマルチコアプラットフォームで CPU スパイクが発生する |
|
|
ASA:ifSpeed/ifHighSpeed が SNMP によってポートチャネルに入力されていない |
|
|
ASA が「logging permit-hostdown」を使用して新しい接続をブロックし、TCP syslog がダウンしている |
|
|
SNMP ポーリング時のスタンバイでの ASA トレースバック |
|
|
ASA:ユニットがクラスタに再参加した後の SNMPv3 ポーリングの認証失敗 |
|
|
Cisco ASA ソフトウェアの IPsec に関するサービス妨害(DoS)の脆弱性 |
|
|
SNMP ポーリング時のスタンバイでの ASA トレースバック |
|
|
古い VPN コンテキストエントリにより ASA がトラフィックの暗号化を停止する |
|
|
Cisco ASA ソフトウェアの IPsec に関するサービス妨害(DoS)の脆弱性 |
|
|
「show resource usage detail counter all 1」により CPU 占有が発生する |
|
|
古い VPN コンテキストエントリにより ASA がトラフィックの暗号化を停止する |
|
|
ASA が TCP パケットを PAWS 障害として誤って分類する |
|
|
「show resource usage detail counter all 1」により CPU 占有が発生する |
|
|
ルートを変更しても dhcprelay インターフェイスが変更されない |
|
|
ASA が TCP パケットを PAWS 障害として誤って分類する |
|
|
マルチキャストパケットの処理時におけるスレッド名 DATAPATH での ASA トレースバック |
|
|
ルートを変更しても dhcprelay インターフェイスが変更されない |
|
|
ASA:ASP テーブルのルーティングに int. がないため、ボックス トラフィックが中断する |
|
|
マルチキャストパケットの処理時におけるスレッド名 DATAPATH での ASA トレースバック |
|
|
9.1.5.19 での ASA トレースバック |
|
|
ASA:ASP テーブルのルーティングに int. がないため、ボックス トラフィックが中断する |
|
|
ASA での CWS リダイレクションにより HTTPS トラフィックのシーケンス番号が破損することがある |
|
|
9.1.5.19 での ASA トレースバック |
|
|
AVT:ASA 9.5.2 での HTTP Strict-Transport-Security ヘッダーの欠落 |
|
|
ASA での CWS リダイレクションにより HTTPS トラフィックのシーケンス番号が破損することがある |
|
|
設定の同期後にスタンバイ ASA でアサーションが確認される |
|
|
AVT:ASA 9.5.2 での HTTP Strict-Transport-Security ヘッダーの欠落 |
|
|
http_header_by_name のユニコーン プロキシ スレッドでのトレースバック |
|
|
設定の同期後にスタンバイ ASA でアサーションが確認される |
|
|
ASA:インターフェイスを接続していない状態でプロトコルとステータスが表示される |
|
|
http_header_by_name のユニコーン プロキシ スレッドでのトレースバック |
|
|
しばらくしてからフラッシュ操作が失敗し、設定を保存できない |
|
|
ASA:インターフェイスを接続していない状態でプロトコルとステータスが表示される |
|
|
スマートトンネルが開始され、メッセージなしで Java が終了する |
|
|
しばらくしてからフラッシュ操作が失敗し、設定を保存できない |
|
|
ボットネットに関連する ASA メモリリーク |
|
|
スマートトンネルが開始され、メッセージなしで Java が終了する |
|
|
コンポーネント ssh を使用したスレッド名 ssh_init での ASA トレースバックアサート |
|
|
ボットネットに関連する ASA メモリリーク |
|
|
スレッド名 DATAPATH または CP Processing でのトレースバックにより ASA がリロードする |
|
|
コンポーネント ssh を使用したスレッド名 ssh_init での ASA トレースバックアサート |
|
|
スレッド IPsec message handler でのトレースバック |
|
|
スレッド名 DATAPATH または CP Processing でのトレースバックにより ASA がリロードする |
|
|
コンテキストを再追加すると一部のスレーブで設定なしにコンテキストが作成される |
|
|
スレッド IPsec message handler でのトレースバック |
|
|
HA:SFR モジュールのリロード後、両方のユニットのインターフェイス数が一致しない |
|
|
コンテキストを再追加すると一部のスレーブで設定なしにコンテキストが作成される |
|
|
Radius アカウンティングパケット内での IPv6 割り当てアドレスフィールドのサポートを追加する |
|
|
HA:SFR モジュールのリロード後、両方のユニットのインターフェイス数が一致しない |
|
|
マルチキャスト ルーティングが無効な状態で ASA が予期しない syslog メッセージを生成する |
|
|
Radius アカウンティングパケット内での IPv6 割り当てアドレスフィールドのサポートを追加する |
|
|
Cisco ASA ACL ICMP エコー要求のコードフィルタリングの脆弱性 |
|
|
マルチキャスト ルーティングが無効な状態で ASA が予期しない syslog メッセージを生成する |
|
|
トレースバック:アサーション「0」が失敗:ファイル「ctm_daemon.c」 |
|
|
Cisco ASA ACL ICMP エコー要求のコードフィルタリングの脆弱性 |
|
|
クライアントからの接続解除後に IPSec を介して L2TP を接続できない |
|
|
トレースバック:アサーション「0」が失敗:ファイル「ctm_daemon.c」 |
|
|
stdby 916.9 以降のリロード後にマルチコンテキストで http 設定が欠落している |
|
|
クライアントからの接続解除後に IPSec を介して L2TP を接続できない |
|
|
アクティブユニットとスタンバイユニットのルート数が異なる |
|
|
stdby 916.9 以降のリロード後にマルチコンテキストで http 設定が欠落している |
|
|
ASA が TLS バージョン 1.2 で TLS プロキシのデータを破損する |
|
|
アクティブユニットとスタンバイユニットのルート数が異なる |
|
|
2016 年 6 月の OpenSSL の pix-asa の評価 |
|
|
ASA が TLS バージョン 1.2 で TLS プロキシのデータを破損する |
|
|
ユニコーン プロキシ スレッドにより CP 競合が発生する |
|
|
2016 年 6 月の OpenSSL の pix-asa の評価 |
|
|
SSH パブリック認証のみのユーザを設定できない(CSCuw90580 と関連) |
|
|
ユニコーン プロキシ スレッドにより CP 競合が発生する |
|
|
アウトバウンド DTLS パケット処理時の ASA 9.1(6) トレースバック |
|
|
SSH パブリック認証のみのユーザを設定できない(CSCuw90580 と関連) |
|
|
修正中の CallId と Refer-To の間の差異によって SIP コール転送が失敗する |
|
|
アウトバウンド DTLS パケット処理時の ASA 9.1(6) トレースバック |
|
|
ASA AnyConnect IKEv2 スクリプトのヘルプカスタマイズがリロード後に提供されない |
|
|
修正中の CallId と Refer-To の間の差異によって SIP コール転送が失敗する |
|
|
ASA:秘密キーの暗号解読時における CP Processing スレッドでのトレースバック |
|
|
ASA AnyConnect IKEv2 スクリプトのヘルプカスタマイズがリロード後に提供されない |
|
|
AnyConnect DTLS オンデマンド DPD が断続的に送信されない |
|
|
ASA:秘密キーの暗号解読時における CP Processing スレッドでのトレースバック |
|
|
AAA:RSA/SDI が新しい PIN を設定できない |
|
|
AnyConnect DTLS オンデマンド DPD が断続的に送信されない |
|
|
ASA はポートチャネルの CCL 上で同じフロートラフィックをロードバランシングしてはならない |
|
|
AAA:RSA/SDI が新しい PIN を設定できない |
|
|
フェールオーバー後、ダウンから待機中への ASA OSPF インターフェイスの移行が遅い |
|
|
ASA はポートチャネルの CCL 上で同じフロートラフィックをロードバランシングしてはならない |
|
|
ASA 9.4.1.5 -「show mem det」で不適切なメモリ使用率が報告される |
|
|
フェールオーバー後、ダウンから待機中への ASA OSPF インターフェイスの移行が遅い |
|
|
スレッド名 telnet/ci での ASA 9.1.6.4 トレースバック |
|
|
ASA 9.4.1.5 -「show mem det」で不適切なメモリ使用率が報告される |
|
|
IPSec キー再生成のコリジョン処理が失敗して IKE トンネルドロップが発生する |
|
|
スレッド名 telnet/ci での ASA 9.1.6.4 トレースバック |
|
|
パケットが PBR および WCCP ルールに達したときの 112 バイト bin でのメモリリーク |
|
|
IPSec キー再生成のコリジョン処理が失敗して IKE トンネルドロップが発生する |
|
|
アクティブ MAC のみが設定されている場合にアクティブ ASA とスタンバイ ASA が同じ MAC アドレスを使用する |
|
|
パケットが PBR および WCCP ルールに達したときの 112 バイト bin でのメモリリーク |
|
|
設定済みのアドレスと同じ MAC アドレスを設定すると、誤ったメッセージが表示される |
|
|
アクティブ MAC のみが設定されている場合にアクティブ ASA とスタンバイ ASA が同じ MAC アドレスを使用する |
|
|
WebVPN:ASA の FQDN が srv と同じである場合、Web ページが完全に書き換えられない |
|
|
設定済みのアドレスと同じ MAC アドレスを設定すると、誤ったメッセージが表示される |
|
|
SSH スレッドでの ASA トレースバック |
|
|
WebVPN:ASA の FQDN が srv と同じである場合、Web ページが完全に書き換えられない |
|
|
ASA がアクティブ/アクティブ HA で NS に応答しない |
|
|
SSH スレッドでの ASA トレースバック |
|
|
ASA がアクティブ/アクティブ HA で NS に応答しない |
|
|
戻り値の後に var が続く場合、JS リライタステートマシンで無限ループが発生する |
|
|
戻り値の後に var が続く場合、JS リライタステートマシンで無限ループが発生する |
|
|
Cisco ASA ソフトウェアのインターネット キー エクスチェンジ バージョン 1 XAUTH に関するサービス妨害(DoS)の脆弱性 |
|
|
Cisco ASA ソフトウェアのインターネット キー エクスチェンジ バージョン 1 XAUTH に関するサービス妨害(DoS)の脆弱性 |
|
|
Kenton 9.5.1 で「boot system/boot config」コマンドがリロード後に保持されない |
|
|
Kenton 9.5.1 で「boot system/boot config」コマンドがリロード後に保持されない |
|
|
スレッド名 idfw_proc での 5585-10 トレースバック |
|
|
スレッド名 idfw_proc での 5585-10 トレースバック |
|
|
NAT 迂回テーブルの変更が正しくない |
|
|
NAT 迂回テーブルの変更が正しくない |
|
|
9.6.2 EST - アサーション「0」が失敗:ファイル「snp_vxlan. c」 |
|
|
9.6.2 EST - アサーション「0」が失敗:ファイル「snp_vxlan. c」 |
|
|
スレッド名 ssh での ASA トレースバック |
|
|
スレッド名 ssh での ASA トレースバック |
|
|
BTF は 3 つ以上のラベルを持つブラックリスト登録ドメインをブロックしていない |
|
|
BTF は 3 つ以上のラベルを持つブラックリスト登録ドメインをブロックしていない |
|
|
クラスタ内のすべてのユニットがリロードされると、コンテキスト設定が拒否されることがある |
|
|
クラスタ内のすべてのユニットがリロードされると、コンテキスト設定が拒否されることがある |
|
|
名前が設定されている場合にリロード後に network コマンドが BGP から消える |
|
|
名前が設定されている場合にリロード後に network コマンドが BGP から消える |
|
|
20 秒以上の CPU 占有による IKEv2 デーモンでのトレースバック |
|
|
20 秒以上の CPU 占有による IKEv2 デーモンでのトレースバック |
|
|
ドロップダウンメニューが Simfosia Web ページで機能しない |
|
|
ドロップダウンメニューが Simfosia Web ページで機能しない |
|
|
最大 snmp ホスト数を超えた場合のネットワークオブジェクト編集時のトレースバック |
|
|
最大 snmp ホスト数を超えた場合のネットワークオブジェクト編集時のトレースバック |
|
|
object-group-search を使用して大規模な ACL がインターフェイスに適用された場合の ASA トレースバック |
|
|
object-group-search を使用して大規模な ACL がインターフェイスに適用された場合の ASA トレースバック |
|
|
ASA:起動後のスタンバイ ASA における DATAPATH でのページフォールト トレースバック |
|
|
ASA:起動後のスタンバイ ASA における DATAPATH でのページフォールト トレースバック |
|
|
ASA キャプチャタイプ isakmp で不正な形式の ISAKMP パケットが保存される |
|
|
ASA キャプチャタイプ isakmp で不正な形式の ISAKMP パケットが保存される |
|
|
MSCA 証明書の登録ページ/VBScript で WebVPN の書き換えに失敗する |
|
|
MSCA 証明書の登録ページ/VBScript で WebVPN の書き換えに失敗する |
|
|
vpnfo による ASA のメモリリーク |
|
|
vpnfo による ASA のメモリリーク |
|
|
HA 設定の同期中に SFR でインターフェイスが削除される |
|
|
HA 設定の同期中に SFR でインターフェイスが削除される |
|
|
スタティック暗号マップと同じ名前が付けられている場合、ダイナミック暗号マップが失敗する |
|
|
スタティック暗号マップと同じ名前が付けられている場合、ダイナミック暗号マップが失敗する |
|
|
DRP の ASA ステートフル フェールオーバーが断続的に動作する |
|
|
DRP の ASA ステートフル フェールオーバーが断続的に動作する |
|
|
パーサースイッチによりコマンドがスタンバイにインストールされていない |
|
|
パーサースイッチによりコマンドがスタンバイにインストールされていない |
|
|
2016 年 5 月の OpenSSL の pix-asa の評価 |
|
|
2016 年 5 月の OpenSSL の pix-asa の評価 |
|
|
ASA:SFR トラフィック リダイレクションを有効にする場合のデータパスにおける ASA でのトレースバック |
|
|
ASA:SFR トラフィック リダイレクションを有効にする場合のデータパスにおける ASA でのトレースバック |
|
|
ASA アドレスがトレースバックをマッピングしていない - snmp-server host の設定 |
|
|
ASA アドレスがトレースバックをマッピングしていない - snmp-server host の設定 |
|
|
ASA アクセスリストでの要素の欠落および喪失に関する警告メッセージの拡張 |
|
|
ASA アクセスリストでの要素の欠落および喪失に関する警告メッセージの拡張 |
|
|
メモリ使用率が高くない場合に ASA-2-321006 が誤って報告されることがある |
|
|
メモリ使用率が高くない場合に ASA-2-321006 が誤って報告されることがある |
|
|
インターフェイス ヘルスチェックのフェールオーバーにより、OSPF が ASA を ABR としてアドバタイズしなくなる |
|
|
インターフェイス ヘルスチェックのフェールオーバーにより、OSPF が ASA を ABR としてアドバタイズしなくなる |
|
|
debug ospf でメモリ破損、アサートが発生する |
|
|
debug ospf でメモリ破損、アサートが発生する |
|
|
SCP クライアントでは「no ssh stricthostkeycheck」を使用したパスワードの入力が許可されていない |
|
|
SCP クライアントでは「no ssh stricthostkeycheck」を使用したパスワードの入力が許可されていない |
|
|
ASA カットスループロキシの無活動タイムアウトが機能しない |
|
|
ASA カットスループロキシの無活動タイムアウトが機能しない |
|
|
インスペクションなしで伝送前に ASA クラスタフラグメントが再構築される |
|
|
インスペクションなしで伝送前に ASA クラスタフラグメントが再構築される |
|
|
ASA がスレッド名 cluster rx thread でトレースバックすることがある |
|
|
ASA がスレッド名 cluster rx thread でトレースバックすることがある |
|
|
ASA がスレッド名 Unicorn Admin Handler でトレースバックすることがある |
|
|
ASA がスレッド名 Unicorn Admin Handler でトレースバックすることがある |
|
|
選出の重大な問題により ASA がクラッシュし、マスターへの昇格が行われない |
|
|
選出の重大な問題により ASA がクラッシュし、マスターへの昇格が行われない |
|
|
ASA:上限に達したときに ASA デバイスで SSH が拒否される |
|
|
ASA:上限に達したときに ASA デバイスで SSH が拒否される |
|
|
tls-proxy ハンドシェイク中のトレースバック |
|
|
tls-proxy ハンドシェイク中のトレースバック |
|
|
クラスタ スレーブに OSPF マルチキャスト フィルタ ルールがない |
|
|
クラスタ スレーブに OSPF マルチキャスト フィルタ ルールがない |
|
|
一部のインターフェイスで PIM BiDir DF の選出が「offer」状態でスタックしている |
|
|
一部のインターフェイスで PIM BiDir DF の選出が「offer」状態でスタックしている |
|
|
ASA が ACL の行と注釈を削除できない - 指定された注釈が存在しない |
|
|
ASA が ACL の行と注釈を削除できない - 指定された注釈が存在しない |
|
|
IPv6 ネイバー探索のパケット処理の動作 |
|
|
IPv6 ネイバー探索のパケット処理の動作 |
|
|
nat-t-disable 機能が ikev2 で動作していない |
|
|
nat-t-disable 機能が ikev2 で動作していない |
|
|
「ピアアドレスが変更された」という理由で Ikev1 トンネルがドロップする |
|
|
「ピアアドレスが変更された」という理由で Ikev1 トンネルがドロップする |
|
|
2048/1550/9344 バイトのブロックリークによってトラフィックの中断とモジュールの障害が発生する |
|
|
2048/1550/9344 バイトのブロックリークによってトラフィックの中断とモジュールの障害が発生する |
|
|
PAT を使用する ASA は、ポートを含まないフィールドを介して SIP を変換解除できない |
|
|
PAT を使用する ASA は、ポートを含まないフィールドを介して SIP を変換解除できない |
|
|
グローバルアクセスリストのクリア中に ASA がクラッシュする |
|
|
グローバルアクセスリストのクリア中に ASA がクラッシュする |
|
|
最新のブランチで inspect-mmp 設定が欠落する |
|
|
最新のブランチで inspect-mmp 設定が欠落する |
|
|
内部インターフェイス上の「任意」のアドレスでハッシュが正しく計算されない |
|
|
内部インターフェイス上の「任意」のアドレスでハッシュが正しく計算されない |
|
|
IKEv2:データキー再生成の衝突により非アクティブな IPsec SA がスタックする可能性がある |
|
|
IKEv2:データキー再生成の衝突により非アクティブな IPsec SA がスタックする可能性がある |
|
|
DNS Doctoring DNS64 が機能しない |
|
|
DNS Doctoring DNS64 が機能しない |
|
|
スレッド名 Dispatch Unit での ASA トレースバック |
|
|
スレッド名 Dispatch Unit での ASA トレースバック |
|
|
アップグレード後の CP Processing スレッドでのトレースバック |
|
|
アップグレード後の CP Processing スレッドでのトレースバック |
|
|
チップリセットによる CTM メッセージハンドラが原因で ASA 9.4.2.6 の CPU 使用率が高くなる |
|
|
チップリセットによる CTM メッセージハンドラが原因で ASA 9.4.2.6 の CPU 使用率が高くなる |
|
|
FQDN 解決時の show access-list での ACL 警告メッセージを削除する |
|
|
FQDN 解決時の show access-list での ACL 警告メッセージを削除する |
|
|
WebVPN でファイル logon.html が予期せず終了する |
|
|
WebVPN でファイル logon.html が予期せず終了する |
|
|
クライアントレス VPN トラフィックについて無効なインターフェイス ID が ASA から SFR に送信される |
|
|
クライアントレス VPN トラフィックについて無効なインターフェイス ID が ASA から SFR に送信される |
|
|
DSCP ビットがサーバから設定されていると、ASA でレート制限が行われない |
|
|
DSCP ビットがサーバから設定されていると、ASA でレート制限が行われない |
|
|
show service-policy の出力で誤った値が報告される |
|
|
show service-policy の出力で誤った値が報告される |
|
|
ASA:timeout floating-conn がゼロ以外に設定されている場合に SLA モニタが機能しない |
|
|
ASA:timeout floating-conn がゼロ以外に設定されている場合に SLA モニタが機能しない |
|
|
ASA のアップグレード後、クライアントレス経由で 2 回目の認証を行うことができない |
|
|
ASA のアップグレード後、クライアントレス経由で 2 回目の認証を行うことができない |
|
|
一部の NAT OID で snmpwalk が動作しない |
|
|
一部の NAT OID で snmpwalk が動作しない |
|
|
ASA のリロード時に、ASA はフラッシュではなくディスク 0 として SSD をマウントする |
|
|
ASA のリロード時に、ASA はフラッシュではなくディスク 0 として SSD をマウントする |
|
|
より小さいメトリックのルートがアドバタイズされた場合に、IPv6 OSPF ルートが更新されない |
|
|
より小さいメトリックのルートがアドバタイズされた場合に、IPv6 OSPF ルートが更新されない |
|
|
ASA:複数のコールで同じメディア ポートが使用されていると PAT を使用した SIP コールがドロップされる |
|
|
ASA:複数のコールで同じメディア ポートが使用されていると PAT を使用した SIP コールがドロップされる |
|
|
TLS プロキシ機能に client trust-point コマンドがない |
|
|
TLS プロキシ機能に client trust-point コマンドがない |
|
|
スレッド名 rtcli async executor process での ASA トレースバック |
|
|
スレッド名 rtcli async executor process での ASA トレースバック |
|
|
ASA データパスのトレースバック(クラスタ) |
|
|
ASA データパスのトレースバック(クラスタ) |
|
|
H323 インスペクションを使用した CP プロセスでのトレースバック、rip h323_service_early_msg |
|
|
H323 インスペクションを使用した CP プロセスでのトレースバック、rip h323_service_early_msg |
|
|
リロード後に ASA で BGP ソケットが開かれない |
|
|
リロード後に ASA で BGP ソケットが開かれない |
|
|
Cisco ASA クロスサイト スクリプティングの SSLVPN の脆弱性 |
|
|
Cisco ASA クロスサイト スクリプティングの SSLVPN の脆弱性 |
|
|
Cisco ASA 入力検証ファイルインジェクションの脆弱性 |
|
|
Cisco ASA 入力検証ファイルインジェクションの脆弱性 |
|
|
MPF 変更中の CLI スレッドでの ASA トレースバック |
|
|
MPF 変更中の CLI スレッドでの ASA トレースバック |
|
|
クラスタへの再参加中に SFR でインターフェイスが削除される |
|
|
クラスタへの再参加中に SFR でインターフェイスが削除される |
|
|
暗号化アクセラレータの呼び出しタイムアウトによりパケットがドロップされる |
|
|
暗号化アクセラレータの呼び出しタイムアウトによりパケットがドロップされる |
|
|
ASA「show inventory」で「Driver Error, invalid query ready」と表示される |
|
|
ASA「show inventory」で「Driver Error, invalid query ready」と表示される |
|
|
フェールオーバーの無効化/有効化時に ASA OSPFv3 インターフェイス ID が変更される |
|
|
フェールオーバーの無効化/有効化時に ASA OSPFv3 インターフェイス ID が変更される |
|
|
show tls-proxy session detail を発行したときのスレッド名 ssh でのトレースバック |
|
|
show tls-proxy session detail を発行したときのスレッド名 ssh でのトレースバック |
|
|
SCTP MH:デュアル NAT が設定されている場合にスタンバイでピンホールが頻繁に削除および追加される |
|
|
SCTP MH:デュアル NAT が設定されている場合にスタンバイでピンホールが頻繁に削除および追加される |
|
|
SSH でのメモリリーク |
|
|
SSH でのメモリリーク |
|
|
不適切な設定で起動された場合、ASA はホスト IP アドレスに「::」を使用する |
|
|
不適切な設定で起動された場合、ASA はホスト IP アドレスに「::」を使用する |
|
|
グローバル ARP リクエストプールの増加 |
|
|
グローバル ARP リクエストプールの増加 |
|
|
クラスタリング:L2 エントリのタイムアウトによって TFW 非同期フローパケットがドロップする |
|
|
クラスタリング:L2 エントリのタイムアウトによって TFW 非同期フローパケットがドロップする |
|
|
シャットダウンされたインターフェイスが ASP ルーティングテーブルに登録される |
|
|
シャットダウンされたインターフェイスが ASP ルーティングテーブルに登録される |
|
|
SNMPv3 のアクティブな engineID は ASA の交換時にリセットされない |
|
|
SNMPv3 のアクティブな engineID は ASA の交換時にリセットされない |
|
|
ICMP インスペクションが無効になっている場合、ASA は ICMP 要求パケットをドロップする |
|
|
ICMP インスペクションが無効になっている場合、ASA は ICMP 要求パケットをドロップする |
|
|
NAT が一致したときに ASA から DHCP 検出パケットをリレーできない |
|
|
NAT が一致したときに ASA から DHCP 検出パケットをリレーできない |
|
|
OSPF によって誤ったマスクを使用してタイプ 5 LSA が生成され、LSDB でスタックする |
|
|
OSPF によって誤ったマスクを使用してタイプ 5 LSA が生成され、LSDB でスタックする |
|
|
FIPS セルフテストの失敗により、ASA がブートループでスタックする |
|
|
FIPS セルフテストの失敗により、ASA がブートループでスタックする |
|
|
サーバが tls-proxy にある場合に ASA が TLS1.2 をネゴシエートする |
|
|
サーバが tls-proxy にある場合に ASA が TLS1.2 をネゴシエートする |
|
|
応答パケットへの応答で ICMP エラー パケットがドロップされる |
|
|
応答パケットへの応答で ICMP エラー パケットがドロップされる |
|
|
ASA:IKEv1/IKEv2 を有効にすると RADIUS ポートが開く |
|
|
ASA:IKEv1/IKEv2 を有効にすると RADIUS ポートが開く |
|
|
ipsecvpn-ikev2_oth:スレッド名 IKEv2 Daemon での 5525 9.4.2.11 のトレースバック |
|
|
ipsecvpn-ikev2_oth:スレッド名 IKEv2 Daemon での 5525 9.4.2.11 のトレースバック |
|
|
ASR9000 BGP グレースフル リスタートが予期したとおりに動作しない |
|
|
ASR9000 BGP グレースフル リスタートが予期したとおりに動作しない |
|
|
IPSEC プロトコル経由での接続時に IPV6 アドレスが割り当てられない |
|
|
IPSEC プロトコル経由での接続時に IPV6 アドレスが割り当てられない |
|
|
ASA:CHILD_SA 衝突によって IKEv2 SA がダウンする |
|
|
ASA:CHILD_SA 衝突によって IKEv2 SA がダウンする |
|
|
CTS SGT マッピングの ASA メモリリーク |
|
|
CTS SGT マッピングの ASA メモリリーク |
|
|
HTML5:Guacamole サーバでページの更新が必要になる |
|
|
HTML5:Guacamole サーバでページの更新が必要になる |
|
|
クライアントレス SSL VPN で OTP 認証が機能しない |
|
|
クライアントレス SSL VPN で OTP 認証が機能しない |
|
|
AnyConnect セッションが L2TP Uauth セッションのスタックにより接続できない |
|
|
AnyConnect セッションが L2TP Uauth セッションのスタックにより接続できない |
|
|
attr を使用した issuer-name で証明書マップ内の重複が誤って検出される |
|
|
attr を使用した issuer-name で証明書マップ内の重複が誤って検出される |
|
|
「show asp table classify domain permit」を発行した場合の ASA トレースバック |
|
|
「show asp table classify domain permit」を発行した場合の ASA トレースバック |
|
|
CTM Message Handler での ASA トレースバック |
|
|
CTM Message Handler での ASA トレースバック |
|
|
Cisco ASA SNMP リモートコード実行の脆弱性 |
|
|
Cisco ASA SNMP リモートコード実行の脆弱性 |
|
|
ASA クラスタ DHCP リレーがサーバ応答をクライアントに転送しない |
|
|
ASA クラスタ DHCP リレーがサーバ応答をクライアントに転送しない |
|
|
トレースバックでクラスタから ASA 5585-60 がドロップされている |
|
|
トレースバックでクラスタから ASA 5585-60 がドロップされている |
|
|
DP-CP キューでのエンキュー障害が検査された TCP 接続を失速させることがある |
|
|
DP-CP キューでのエンキュー障害が検査された TCP 接続を失速させることがある |
|
|
971 EST:show capture でコンソールがハングする |
|
|
971 EST:show capture でコンソールがハングする |
|
|
SIP:ルートからのアドレス:ヘッダーが正しく変換されない |
|
|
SIP:ルートからのアドレス:ヘッダーが正しく変換されない |
|
|
IKE_DBG でのトレースバック |
|
|
IKE_DBG でのトレースバック |
|
|
SNMP 設定を削除できない |
|
|
SNMP 設定を削除できない |
|
|
H.323 インスペクションによりスレッド名 CP Processing でトレースバックが発生する |
|
|
H.323 インスペクションによりスレッド名 CP Processing でトレースバックが発生する |
|
|
AnyConnect テストでアプリケーションをロードした後のネットワーク udpmod_get でのトレースバック |
|
|
AnyConnect テストでアプリケーションをロードした後のネットワーク udpmod_get でのトレースバック |
|
|
wr mem/wr standby がスタンバイの設定を同期していない |
|
|
wr mem/wr standby がスタンバイの設定を同期していない |
|
|
ASA DHCP リレーは、DHCP オファーの一部として受信したネットマスクとゲートウェイを書き換える |
|
|
ASA DHCP リレーは、DHCP オファーの一部として受信したネットマスクとゲートウェイを書き換える |
|
|
スレッド名 DATAPATH での ASA ページ障害のトレースバック |
|
|
スレッド名 DATAPATH での ASA ページ障害のトレースバック |
|
|
DHCP リレーとしての ASA が DHCP 150 通知メッセージをドロップする |
|
|
DHCP リレーとしての ASA が DHCP 150 通知メッセージをドロップする |
|
|
ASA でのバッファオーバーフローによりリモートコードが実行される |
|
|
ASA でのバッファオーバーフローによりリモートコードが実行される |
|
|
ASA の SSH 実装における Sweet32 の脆弱性 |
|
|
ASA の SSH 実装における Sweet32 の脆弱性 |
|
|
FQDN 未解決時の show access-list での ACL 警告メッセージを削除する |
|
|
FQDN 未解決時の show access-list での ACL 警告メッセージを削除する |
|
|
DCERPC インスペクションによるスレッド名 CP Processing での ASA トレースバック |
|
|
DCERPC インスペクションによるスレッド名 CP Processing での ASA トレースバック |
|
|
スレッド名 NIC status poll での ASA 9.1.7-9 のクラッシュ |
|
|
スレッド名 NIC status poll での ASA 9.1.7-9 のクラッシュ |
|
|
WebVPN リライターが matterport.com で失敗する |
|
|
WebVPN リライターが matterport.com で失敗する |
|
|
マルチコンテキスト トランスペアレント ファイアウォールでの ASA 1550 ブロックの枯渇 |
|
|
マルチコンテキスト トランスペアレント ファイアウォールでの ASA 1550 ブロックの枯渇 |
|
|
CSCup37416 に対する修正にもかかわらず、古い VPN コンテキスト エントリにより ASA がトラフィックの暗号化を停止する |
|
|
CSCup37416 に対する修正にもかかわらず、古い VPN コンテキスト エントリにより ASA がトラフィックの暗号化を停止する |
|
|
ASA のマルチコンテキスト SNMP PAT インターフェイスが欠落している |
|
|
ASA のマルチコンテキスト SNMP PAT インターフェイスが欠落している |
|
|
トレースバック:スレッド名 DATAPATH-0-1790 での ASA |
|
|
トレースバック:スレッド名 DATAPATH-0-1790 での ASA |
|
|
WebVPN:VNC プラグイン:Java:Connection reset by peer: socket write error |
|
|
WebVPN:VNC プラグイン:Java:Connection reset by peer: socket write error |
|
|
Cisco ASA 署名検証によりブート時にデジタル署名テキストを誤って解釈する |
|
|
Cisco ASA 署名検証によりブート時にデジタル署名テキストを誤って解釈する |
|
|
Cisco ASA の削除により SB 以外のハードウェアでセキュアなブート コマンドを誤って解釈する |
|
|
Cisco ASA の削除により SB 以外のハードウェアでセキュアなブート コマンドを誤って解釈する |
|
|
スレッド名 snmp での 9.6.2 を実行している ASA5585-SSP-2 のトレースバック |
|
|
スレッド名 snmp での 9.6.2 を実行している ASA5585-SSP-2 のトレースバック |
|
|
IKE キー再生成後のフェールオーバーがアクティブデバイスでフェーズ 1 キー再生成を開始できない |
|
|
IKE キー再生成後のフェールオーバーがアクティブデバイスでフェーズ 1 キー再生成を開始できない |
|
|
ASA PKI OCSP 障害:CRYPTO_PKI:OCSP 応答データの復号化に失敗した |
|
|
ASA PKI OCSP 障害:CRYPTO_PKI:OCSP 応答データの復号化に失敗した |
|
|
Cisco ASA プラットフォームで NFS スループット レートが低下する |
|
|
Cisco ASA プラットフォームで NFS スループット レートが低下する |
|
|
ユーザが手動でログアウトした場合に ASA が認証セッション終了ログを送信しない |
|
|
ユーザが手動でログアウトした場合に ASA が認証セッション終了ログを送信しない |
|
|
Cisco ASA ソフトウェアの DNS に関するサービス妨害(DoS)の脆弱性 |
|
|
Cisco ASA ソフトウェアの DNS に関するサービス妨害(DoS)の脆弱性 |
|
|
Checkheaps スレッドでの ASA トレースバック |
|
|
Checkheaps スレッドでの ASA トレースバック |
|
|
スレッド名 aaa_shim_thread での ASA トレースバック |
|
|
スレッド名 aaa_shim_thread での ASA トレースバック |
|
|
Cisco ASA ソフトウェアと Cisco FTD ソフトウェアの TCP の正規化におけるサービス攻撃に対する脆弱性 |
|
|
Cisco ASA ソフトウェアと Cisco FTD ソフトウェアの TCP の正規化におけるサービス攻撃に対する脆弱性 |
|
|
自動更新スレッドで ASA トレースバックが確認された |
|
|
自動更新スレッドで ASA トレースバックが確認された |
|
|
2016 年 9 月の Openssl の pix-asa の評価 |
|
|
2016 年 9 月の Openssl の pix-asa の評価 |
|
|
ISE への送受信の際に ASA 上の CoA によりトレースバックがトリガーされる |
|
|
ISE への送受信の際に ASA 上の CoA によりトレースバックがトリガーされる |
|
|
IKEv2:クライアントからの接続後に セッションがクリアされない |
|
|
IKEv2:クライアントからの接続後に セッションがクリアされない |
|
|
スレッド名 rtcli での ASA のトレースバック |
|
|
スレッド名 rtcli での ASA のトレースバック |
|
|
RADIUS 認可要求が着信側ステーション ID の属性を送信しない |
|
|
RADIUS 認可要求が着信側ステーション ID の属性を送信しない |
|
|
viewer_dart.js ファイルが正しくロードされない |
|
|
viewer_dart.js ファイルが正しくロードされない |
|
|
スレッド名 emweb/https での ASA トレースバック |
|
|
スレッド名 emweb/https での ASA トレースバック |
|
|
EIGRP:帯域幅を拡張したときに多数のエラー処理を追加する必要がある |
|
|
EIGRP:帯域幅を拡張したときに多数のエラー処理を追加する必要がある |
|
|
オブジェクトグループ検索の冗長サービス グループ オブジェクトが誤って削除される |
|
|
オブジェクトグループ検索の冗長サービス グループ オブジェクトが誤って削除される |
|
|
時間範囲により拒否された場合の IKEv2 での AAA セッション ハンドルのリーク |
|
|
時間範囲により拒否された場合の IKEv2 での AAA セッション ハンドルのリーク |
|
|
OS 9.1.6 から 9.4.3 へのアップグレード時の スレッド fover_parse での ASA-SM のトレースバック |
|
|
OS 9.1.6 から 9.4.3 へのアップグレード時の スレッド fover_parse での ASA-SM のトレースバック |
|
|
ASA によるクライアントのマルチキャスト パケットの宛先 MAC アドレスの書き換え頻度がかなり低い |
|
|
ASA によるクライアントのマルチキャスト パケットの宛先 MAC アドレスの書き換え頻度がかなり低い |
|
|
URL での webvpn_state クッキー情報の開示 |
|
|
URL での webvpn_state クッキー情報の開示 |
|
|
スレッド名 IKE Daemon での ASA のトレースバック |
|
|
スレッド名 IKE Daemon での ASA のトレースバック |
|
|
マルチコンテキスト モードで設定された TCP syslog を使用して ASA がトラフィックをドロップしている |
|
|
マルチコンテキスト モードで設定された TCP syslog を使用して ASA がトラフィックをドロップしている |
|
|
4GE-SSM RJ45 インターフェイスがインターフェイスの「rate limit drops」によりトラフィックをドロップすることがある |
|
|
4GE-SSM RJ45 インターフェイスがインターフェイスの「rate limit drops」によりトラフィックをドロップすることがある |
|
|
CVE-2016-5195(ダーティ CoW)の pix-asa の評価 |
|
|
CVE-2016-5195(ダーティ CoW)の pix-asa の評価 |
|
|
フェールオーバーおよびプラグイン/プラグアウト後に管理インターフェイスに SSH 接続できない |
|
|
フェールオーバーおよびプラグイン/プラグアウト後に管理インターフェイスに SSH 接続できない |
|
|
WebVPN:内部ページのログイン ボタンがリライター経由で機能しない |
|
|
WebVPN:内部ページのログイン ボタンがリライター経由で機能しない |
|
|
書き換え時にラベル長を超えたため ASA が DNS PTR リレーをドロップする |
|
|
書き換え時にラベル長を超えたため ASA が DNS PTR リレーをドロップする |
|
|
ASA が誤った ACL と有効状態のオブジェクトグループ検索を照合する |
|
|
ASA が誤った ACL と有効状態のオブジェクトグループ検索を照合する |
|
|
NOTIFY に埋め込まれている場合に ASA SIP インスペクションによる 200 OK の送信が遅延することがある |
|
|
NOTIFY に埋め込まれている場合に ASA SIP インスペクションによる 200 OK の送信が遅延することがある |
|
|
ASA:IKEv2 によるメモリ リーク |
|
|
ASA:IKEv2 によるメモリ リーク |
|
|
ASA DHCP リレーに代行受信 DHCP 機能との互換性がない |
|
|
ASA DHCP リレーに代行受信 DHCP 機能との互換性がない |
|
|
ASA クラスタの TCP/SSL ポートが LISTEN 状態に表示されない |
|
|
ASA クラスタの TCP/SSL ポートが LISTEN 状態に表示されない |
|
|
ASA が証明書マップに複数の属性エントリを追加できない |
|
|
ASA が証明書マップに複数の属性エントリを追加できない |
|
|
WebVPN 実行中に ASAv がクラッシュすることがある |
|
|
WebVPN 実行中に ASAv がクラッシュすることがある |
|
|
EC に負荷がかかっている状態で ASA が SSL VPN セッションの確立に失敗する |
|
|
EC に負荷がかかっている状態で ASA が SSL VPN セッションの確立に失敗する |
|
|
9.6.2:AnyConnect IKEv2 パフォーマンス テスト時のトレースバック |
|
|
9.6.2:AnyConnect IKEv2 パフォーマンス テスト時のトレースバック |
|
|
ASA マルチコンテキストで到達不能な TCP syslog と logging permit-hostdown のセットへの新しい接続が許可されない |
|
|
ASA マルチコンテキストで到達不能な TCP syslog と logging permit-hostdown のセットへの新しい接続が許可されない |
|
|
スレッド名 sch_syslog での ASA のトレースバック |
|
|
スレッド名 sch_syslog での ASA のトレースバック |
|
|
DSCP マーキングが IPSec カプセル化を使用した外部 IP ヘッダーにコピーされない |
|
|
DSCP マーキングが IPSec カプセル化を使用した外部 IP ヘッダーにコピーされない |
|
|
WebVPN CIFS での Cisco ASA ヒープのオーバーフロー |
|
|
WebVPN CIFS での Cisco ASA ヒープのオーバーフロー |
|
|
mqc_enable_qos_for_tunnel のスレッド名 IKE Daemon でのトレースバック |
|
|
mqc_enable_qos_for_tunnel のスレッド名 IKE Daemon でのトレースバック |
|
|
MIB オブジェクト cempMemPoolHCUsed が表示されなくなる |
|
|
MIB オブジェクト cempMemPoolHCUsed が表示されなくなる |
|
|
ASA:OspfV3 ルートがインストールされない |
|
|
ASA:OspfV3 ルートがインストールされない |
|
|
クラスタ ユニットのリブート後に SNMPv3 ユーザの同期がエラーになる |
|
|
クラスタ ユニットのリブート後に SNMPv3 ユーザの同期がエラーになる |
|
|
SNMP ポーリングの使用時の CloneOctetString での ASA のメモリ リーク |
|
|
SNMP ポーリングの使用時の CloneOctetString での ASA のメモリ リーク |
|
|
ACL と NAT テーブルのコンパイルの速度向上の実装 |
|
|
ACL と NAT テーブルのコンパイルの速度向上の実装 |
|
|
インターフェイスの no shutdown 後のスレッド名 ssh、rip igb_disable_rx_queues での ASA トレースバック |
|
|
インターフェイスの no shutdown 後のスレッド名 ssh、rip igb_disable_rx_queues での ASA トレースバック |
|
|
クライアントレス WebVPN の ASA とバックエンド サーバ間で SSL 接続がハングする |
|
|
クライアントレス WebVPN の ASA とバックエンド サーバ間で SSL 接続がハングする |
|
|
FirePOWER モジュールを搭載した ASA がトレースバックを生成してリロードするか、プロセスが実行しなくなる原因となる |
|
|
FirePOWER モジュールを搭載した ASA がトレースバックを生成してリロードするか、プロセスが実行しなくなる原因となる |
|
|
ASA クラスタリング:9.6.2 の SPAN が設定されたポートチャネル インターフェイスで MAC アドレス コマンドが無視される |
|
|
ASA クラスタリング:9.6.2 の SPAN が設定されたポートチャネル インターフェイスで MAC アドレス コマンドが無視される |
|
|
forward-reference enable が設定されている場合に ASA がアクセスリストを動的に更新しない |
|
|
forward-reference enable が設定されている場合に ASA がアクセスリストを動的に更新しない |
|
|
デフォルトの WebVPN グループにランディングする接続について WebVPN ポータルが正しく表示されない |
|
|
デフォルトの WebVPN グループにランディングする接続について WebVPN ポータルが正しく表示されない |
|
|
ASA インスペクション MPF の ACL の変更が正しい順序で ASP テーブルに表示されない |
|
|
ASA インスペクション MPF の ACL の変更が正しい順序で ASP テーブルに表示されない |
|
|
ASA がスレッド名 Unicorn Admin Handler でトレースバックすることがある |
|
|
ASA がスレッド名 Unicorn Admin Handler でトレースバックすることがある |
|
|
アクティブ/スタンバイ ASA フェールオーバー ペアでアクティブ ユニットをリロードしてもフェールオーバーをトリガーしない |
|
|
アクティブ/スタンバイ ASA フェールオーバー ペアでアクティブ ユニットをリロードしてもフェールオーバーをトリガーしない |
|
|
ASA:IPSec SA の起動に失敗した |
|
|
ASA:IPSec SA の起動に失敗した |
|
|
L2L セットアップで IKEv2 ハンドルがリークする |
|
|
L2L セットアップで IKEv2 ハンドルがリークする |
|
|
CEP レコードの編集ページのロードに時間がかかる |
|
|
CEP レコードの編集ページのロードに時間がかかる |
|
|
ASA が誤ってラッパーの負の数値を処理し、結果としてグラフィカル WebVPN の問題が発生する |
|
|
ASA が誤ってラッパーの負の数値を処理し、結果としてグラフィカル WebVPN の問題が発生する |
|
|
SIP:複数のセグメントを持つ 200 OK メッセージが正しく再構築されない |
|
|
SIP:複数のセグメントを持つ 200 OK メッセージが正しく再構築されない |
|
|
ASA L3 クラスタ:非対称ルーティングの場合に DHCP リレーが DHCPOFFER をドロップする |
|
|
ASA L3 クラスタ:非対称ルーティングの場合に DHCP リレーが DHCPOFFER をドロップする |
|
|
失敗した試行後の CTP がユーザ名とともにドメインを送信する |
|
|
失敗した試行後の CTP がユーザ名とともにドメインを送信する |
|
|
到達可能性がダウンしている間にトラッキング ルートが起動しない |
|
|
到達可能性がダウンしている間にトラッキング ルートが起動しない |
|
|
ASA クラスタ スレッド名 qos_metric_daemonでのトレースバック |
|
|
ASA クラスタ スレッド名 qos_metric_daemonでのトレースバック |
|
|
ASA NAT プールが正しく更新されない |
|
|
ASA NAT プールが正しく更新されない |
|
|
スクリプト ユーザに SSH パブリック認証を設定できない |
|
|
スクリプト ユーザに SSH パブリック認証を設定できない |
|
|
スレッド名 Datapath での ASA のトレースバック |
|
|
スレッド名 Datapath での ASA のトレースバック |
|
|
ASA が IPv6 MLD クエリに応答しない |
|
|
ASA が IPv6 MLD クエリに応答しない |
|
|
設定の同期の失敗時の ASA のトレースバックとリロード |
|
|
設定の同期の失敗時の ASA のトレースバックとリロード |
|
|
RADIUS アカウンティング パケットによる 1550 バイト ブロックの枯渇が確認される |
|
|
RADIUS アカウンティング パケットによる 1550 バイト ブロックの枯渇が確認される |
|
|
ASA(9.1.7.12):スタンバイ ASA を介してマルチキャスト ストリーム用に作成された接続エントリ |
|
|
ASA(9.1.7.12):スタンバイ ASA を介してマルチキャスト ストリーム用に作成された接続エントリ |
|
|
DHCP を使用すると L2TP が接続されないことがある |
|
|
DHCP を使用すると L2TP が接続されないことがある |
|
|
非システム コンテキストの SSH 公開キー認証を設定できない |
|
|
非システム コンテキストの SSH 公開キー認証を設定できない |
|
|
アップグレード後にスレッド名 IPSEC MESSAGE HANDLER で ASA-FP9300 がクラッシュ |
|
|
アップグレード後にスレッド名 IPSEC MESSAGE HANDLER で ASA-FP9300 がクラッシュ |
|
|
ASA での低速なメモリ リーク |
|
|
ASA での低速なメモリ リーク |
|
|
データの受け渡し中にグループポリシーの「vpn-idle-timeout」によりポート フォワーディング セッションがタイムアウトする |
|
|
データの受け渡し中にグループポリシーの「vpn-idle-timeout」によりポート フォワーディング セッションがタイムアウトする |
|
|
5585 がクラスタを離れた後の 30 秒間にデータ インターフェイスのバンドルを解除しない |
|
|
5585 がクラスタを離れた後の 30 秒間にデータ インターフェイスのバンドルを解除しない |
|
|
ASA 944 のサービス オブジェクト グループで作成されると、ポート オブジェクトを削除できない |
|
|
ASA 944 のサービス オブジェクト グループで作成されると、ポート オブジェクトを削除できない |
|
|
TFTP を使用してキャプチャをコピーすると ASA がトレースバックすることがある |
|
|
TFTP を使用してキャプチャをコピーすると ASA がトレースバックすることがある |
|
|
ブートアップ時に大型のコンテキスト設定をロードしている間に ASA がトレースバックすることがある |
|
|
ブートアップ時に大型のコンテキスト設定をロードしている間に ASA がトレースバックすることがある |
|
|
IM インスペクションが有効になっていると、ASA が Web トラフィックをドロップする |
|
|
IM インスペクションが有効になっていると、ASA が Web トラフィックをドロップする |
|
|
ASA:ICMP トラフィックの PBR メモリ リーク |
|
|
ASA:ICMP トラフィックの PBR メモリ リーク |
|
|
新しいユニットがセットアップに参加していなかったにもかかわらず、クラスタ C ハッシュ テーブルがもう 1 つのユニットで更新される |
|
|
新しいユニットがセットアップに参加していなかったにもかかわらず、クラスタ C ハッシュ テーブルがもう 1 つのユニットで更新される |
|
|
新しく作成されたオブジェクトグループのアクセスリストが一致しない |
|
|
新しく作成されたオブジェクトグループのアクセスリストが一致しない |
|
|
ジャイアント オブジェクト グループ(display_hole_og)を使用してアクセスリストを保存/表示しようとするとトレースバックする |
|
|
ジャイアント オブジェクト グループ(display_hole_og)を使用してアクセスリストを保存/表示しようとするとトレースバックする |
|
|
RT#687120:クライアントレス VPN - SAML のブクマークに関する問題 |
|
|
RT#687120:クライアントレス VPN - SAML のブクマークに関する問題 |
|
|
モジュールのリロード後に ASA FirePOWER モジュール データ プレーンがダウンする |
|
|
モジュールのリロード後に ASA FirePOWER モジュール データ プレーンがダウンする |
|
|
ASA:TLS プロキシ - スレッド名 Dispatch Unit でのトレースバック |
|
|
ASA:TLS プロキシ - スレッド名 Dispatch Unit でのトレースバック |
|
|
クラスタ内の ASA によりマスターとスレーブ間のユーザ グループ マッピングが適切でなくなる |
|
|
クラスタ内の ASA によりマスターとスレーブ間のユーザ グループ マッピングが適切でなくなる |
|
|
スレッド名 dhcp_daemon でのトレースバック |
|
|
スレッド名 dhcp_daemon でのトレースバック |
|
|
%ASA-3-216001: internal error in ci_cons_shell: thread data misuse |
|
|
%ASA-3-216001: internal error in ci_cons_shell: thread data misuse |
|
|
DCERPC インスペクションでパケットがドロップされ、通信が切断される |
|
|
DCERPC インスペクションでパケットがドロップされ、通信が切断される |
|
|
ASDM で「アクセス ルール」を表示している際のスレッド名 accept/http での ASA トレースバック |
|
|
ASDM で「アクセス ルール」を表示している際のスレッド名 accept/http での ASA トレースバック |
|
|
NAT 関連オブジェクトを FQDN に変更すると ASA がクラッシュすることがある |
|
|
NAT 関連オブジェクトを FQDN に変更すると ASA がクラッシュすることがある |
|
|
ESXi vCenter 6.5 での ASAv の導入中に発生したエラー |
|
|
ESXi vCenter 6.5 での ASAv の導入中に発生したエラー |
|
|
ASA ポリシーマップ設定がクラスタのスレーブに複製されない |
|
|
ASA ポリシーマップ設定がクラスタのスレーブに複製されない |
|
|
213 日の稼働後に ARP 関数が失敗し、「punt-rate-limit-exceeded」というエラーでドロップする |
|
|
213 日の稼働後に ARP 関数が失敗し、「punt-rate-limit-exceeded」というエラーでドロップする |
|
|
内部ブックマーク サイトのインタラクティブ アイコンが正しく表示されない(+CSCO+0undefined) |
|
|
内部ブックマーク サイトのインタラクティブ アイコンが正しく表示されない(+CSCO+0undefined) |
|
|
ASA がタイプ TXT の追加 RR のみを含む DNS 応答をドロップすることがある |
|
|
ASA がタイプ TXT の追加 RR のみを含む DNS 応答をドロップすることがある |
|
|
クラスタに参加し、スレーブとしてアクティブな間に ASA がリロードした |
|
|
クラスタに参加し、スレーブとしてアクティブな間に ASA がリロードした |
バージョン 9.4(3) で解決済みのバグ
シスコサポート契約がある場合は、次の検索を使用して、バージョン 9.4(3) で重大度 3 以上の解決済みのバグを検索できます。
次の一覧表は、このリリース ノートの発行時点で解決済みのバグです。
|
ID |
説明 |
|---|---|
|
Content-Length カウンタのサイズを 4 バイトから 8 バイトに増やす |
|
|
QoS 設定によるコンソールでのエラーメッセージ |
|
|
ドメイン名に大文字を使用すると動的フィルタを回避できる |
|
|
ARP MAC アドレス変換が正しくない |
|
|
ASA メモリプール情報の SNMP ポーリングによる CPU 占有 |
|
|
「xlate count」の GET BULK に対するクエリ時に SNMP でトレースバックが発生する |
|
|
タイプ 0 ルーティングヘッダーのコードを削除する |
|
|
IPv6 パケットの完全フラグメントリアセンブルのチェックをバイパスできる |
|
|
time-range の有効期限が切れたときに ASA が ACE を非アクティブに設定しない |
|
|
ARP:プロキシ IP トラフィックがハイジャックされる |
|
|
5585 のインターフェイスカウンタで動作中のインターフェイスが 0 と表示され、コンソールエラーが出力される |
|
|
ASA WebVPN:3 つを超える CA 証明書では Java Signer Certificate チェーンが不完全になる |
|
|
FIPS セルフテストが電源オンに失敗する - fipsPostDrbgKat |
|
|
スレーブから idfw topn ユーザを取得するときの ASA トレースバック |
|
|
nat-t パケット処理中のスレッド名 DATAPATH-1-1382 でのトレースバック |
|
|
スタンバイユニットで ARP デバッグメッセージが改行なしに出力される |
|
|
Inspect-DNS:DNS-Doctoring が有効な場合に PTR クエリが失敗する |
|
|
WebVPN Citrix クライアントブラウザで Java クライアントを優先して保存することができない |
|
|
WebVPN クライアントブラウザで Flash サイトからのすべてのコンテンツが表示されない |
|
|
クラスタリングを使用する ASA と N7K の間における SXP バージョンの不一致 |
|
|
TLSv1.2 クライアント証明書認証の接続確立に失敗 |
|
|
「show blocks exhaustion snapshot/history」の実行時に ASA 管理セッションがスタックする |
|
|
ローエンド ASA-X-5512/5515 デバイスでの ASA の DMA メモリ不足 |
|
|
ASDM のアップロードによりトレースバックが発生する(OCTEON_CRYPTO:SG バッファが制限を超えています(OCTEON_CRYPTO: SG buffers exceeds limit)) |
|
|
show traffic のプロトコル統計情報に大きなカウンタ値が表示される(拡張パケット統計の後) |
|
|
コンパイル時にトランザクション ACL のコミットにセキュリティポリシーが適用されない |
|
|
Spyker A でのシームレスなアップグレードにより、両方の ASA ユニットでエラーメッセージが大量に発生する |
|
|
電源の再投入後に、フェールオーバーペアでライセンスの共有がアクティブ化されない |
|
|
ASA トラフィックが「traffic-forward sfr monitor-only」を使用して正しく送信されない |
|
|
フェールオーバー ステート リンクで直接接続された冗長インターフェイスをサポートする必要がある |
|
|
ASA SSLVPN クライアントでの証明書検証エラー - SSL Lib error: bad rsa signature |
|
|
ASA 5545x の 9.2(2)4 へのアップグレードによりスレッド名 SSL でのトレースバックが発生する |
|
|
Cisco ASA の XML に関するサービス妨害(DoS)の脆弱性 |
|
|
clear configure all コマンドの後に ASA がクラッシュする |
|
|
SVG パーサーが xlink:href 属性をマングリングしない |
|
|
フレームの長さが 2048 バイトを超える場合に SFR へのインターフェイス TLV が破損する |
|
|
ASA:CL SSL ポータルから AC クライアントへの RDP 接続が原因でスタンバイでの CPU 使用率が高い |
|
|
ローエンド ASA プラットフォームでの jumbo-frame reservation の影響を調査する |
|
|
ASA WebVPN クライアントレス Cookie 認証のバイパス |
|
|
標準ベースの IKEv2:DPD を設定するコマンドが正しくない |
|
|
SSL の RSA 証明書を手動で設定する場合は、ECDSA SSL 暗号を無効にする |
|
|
ASA CX - ASA のリロードまでデータプレーンがダウンとしてマークされる |
|
|
ASA:stuck uauth エントリが AnyConnect ユーザ接続を拒否する |
|
|
9.5.2 Gold Setup - DATAPATH-6-2596 snp_fp_get_frag_chain でのトレースバック |
|
|
実行中の設定で http サーバが有効でないのに有効として表示される |
|
|
あるコンテキストで設定された auth-prompt が別のコンテキストで表示される |
|
|
ASA - URL フィルタ - スレッド名 uauth_urlb clean でのトレースバック |
|
|
DH 19 以上の ikev2 でフェーズ 2 のキー再生成後にトラフィックを渡すことができない |
|
|
WebVPN に使用する場合の DATAPATH での ASAv トレースバック |
|
|
CLI で 510 文字以上入力すると、コンテキストが admin/system に切り替わる |
|
|
GET が ScanSafe 接続を切断した後のクライアントからの即時 FIN |
|
|
ASA の確立および切断ログメッセージで「任意」の情報が表示される |
|
|
js_parser_print_rest でのトレースバックを防止する必要がある |
|
|
ASA:CLI コマンドでローカル認証のヘルプ(?)オプションが表示されない |
|
|
ASA:「自動有効化」機能が PKF を使用して設定された SSH で動作しない |
|
|
RSA キーを使用するサブ CA が ECDSA を使用するルートによって署名されている場合に、TP 認証が失敗する |
|
|
キャプチャまたは連続 ping の使用時におけるスレッド名 ssh でのトレースバック |
|
|
Cisco ASA トンネルグループパラメータの検証 |
|
|
Activex で負荷が高い場合に ASA SSLVPN RDP プラグインセッションがフリーズする |
|
|
ASA:LDAP over SSL 認証の失敗 |
|
|
IKEv2 を使用する ASA が NAT_DETECTION_SOURCE_IP の 10 を超えるペイロードを拒否する |
|
|
ASA - sunrpc インスペクションで NFSv3 の転送が低速になる |
|
|
ASA:「log default」キーワードのある ACE を削除できない |
|
|
ASA クラスタ - サービスポリシーの「current conns」カウンタが正しくない |
|
|
ICMP タイプの出力 ACL が誤動作する |
|
|
ASA:スレッド名 SXP CORE でのウォッチドッグのトレースバック |
|
|
トレースオプションを使用してパケットキャプチャを表示する際に ASA がトレースバックすることがある |
|
|
9.5.1 - bcm_esw_init スレッドでのクラッシュ |
|
|
ASA:マルチモードでフェールオーバーの IPv6 アドレスに ping できない |
|
|
スレッド DATAPATH で設定を同期しているときのスタンバイデバイスでの ASA トレースバック |
|
|
AnyConnect の切断後にスタンバイ ASA 内部 IP に到達できない |
|
|
SSL:ノードをクラスタに参加させることができない |
|
|
5500-X のポートチャネル インターフェイスで「管理専用」を変更できない |
|
|
ASA PKI:9.1(6.4) / 9.1(6.6) / 9.1(6.8) へのアップグレード後に証明書の認証が失敗する |
|
|
MPF で「set connection」を変更する場合のスレッド名 DATAPATH でのトレースバック |
|
|
Cisco ASA Unicast Reverse Path Forwarding(uRPF)のバイパスの脆弱性 |
|
|
Cisco ASA クライアントレス SSL VPN ポータルがハングする |
|
|
システムスペースで「show ipv6 neighbor」コマンドを使用できない |
|
|
ASA が OCSP 応答を確認する際に正しくないトラストポイントを選択する |
|
|
HTTP チャンクデータによるウォッチドッグのトレースバック |
|
|
Cisco ASA VPN に関するメモリブロック枯渇の脆弱性 |
|
|
FO:9.4.1 から 9.5.1 へのアップグレードにおける同期時の ASAv トレースバック |
|
|
object-group-search access-control が有効な場合のネストされたオブジェクトグループに関する問題 |
|
|
RSA 暗号キーの生成時に ISA3000 がクラッシュする |
|
|
カスタマイズのエクスポートを伴う設定の複製時におけるスタンバイのトレースバック |
|
|
フェールオーバー後に既存の AAA が割り当てられたアドレスを使用する AC セッションを ASA が許可する |
|
|
tunnel-group name にスペースを含めて group-lock 値を設定できる |
|
|
ASA がクラスタ上で ASDM TopN ACL 統計情報の誤った ACL ハッシュを送信する |
|
|
Webvpn:基盤となる接続を閉じると JS パーサーがクラッシュする可能性がある |
|
|
スレッド名 fover_parse (ak47/ramfs) での ASA トレースバック |
|
|
RAMFS 処理を使用したユニコーンプロキシスレッドでのトレースバック |
|
|
CA/subCA に名前制約が含まれている場合に RA の検証が失敗する |
|
|
WEBVPN リライタ:ブックマーク URL でピリオドの 16 進コード後にマングリングが停止される |
|
|
アップグレード後に ACL のすべてのコメントが各 ACL の末尾にプッシュされる |
|
|
ASA 設定で snort がダウンしている場合にパケットが通過できるようにする |
|
|
ASA トレースバック:SSH スレッド:多数のユーザがログインしており、dACL が変更されている |
|
|
ASA TCP ノーマライザがハーフオープン CONNS の無効な ACK に対して PUSH ACK を送信する |
|
|
ASA Lina:デバッグメニューオプション 20 でのメモリリークを修正する |
|
|
スレッド名 CP Crypto Result Processing での ASA トレースバック |
|
|
ASA のユーザ ID の MAC 不一致削除コマンドが適用されない |
|
|
9.2.1 以降の ASA で IKEv2 L2L トンネルを介した OSPF が破損する |
|
|
ASA が RA VPN クライアント(ISE 1.3+)について url-redirect を 160 文字で切り捨てる |
|
|
ASA - SSH セッションが CLOSE_WAIT でスタックし、ASA が RST を送信する |
|
|
再帰転送アドレスを持つ外部 LSA を ASA がインストールしない |
|
|
10 文字より短い DHCPD 検索ドメインが破損する |
|
|
ASA:webvpn によるスレッド名 Checkheaps でのトレースバック |
|
|
フェールオーバー IP アドレスで snmpget を使用して ipAdEntNetMask を取得することができない |
|
|
WebVPN ストレステストを使用した ak47_platform.c での ASA 9.3.3.224 トレースバック |
|
|
スレッド名 IP Address Assign でのトレースバック |
|
|
dublin/main での破損した gcov ビルドを修正する |
|
|
ダイナミック PAT プールでバックアップが不明になる |
|
|
ネイバーでルートを削除できるようにするポイズンリバースを ASA EIGRP が送信しない |
|
|
重複するリモートネットワークに対する S2S IPSec データパスの選択が不適切である |
|
|
ASDM からバックアップ設定を復元するときの ASA トレースバック |
|
|
クラスタからダイナミック PAT ステートメントを削除するときの ASA トレースバック |
|
|
ASA:スレッド名 netfs_thread_init でのトレースバック |
|
|
ASA:脅威の検出によるスレッド Unicorn Admin Handler でのトレースバック |
|
|
Cisco ASA ソフトウェアバージョンに関する情報漏えいの脆弱性 |
|
|
5585 で traffic-forward インターフェイスコマンドが機能しない |
|
|
ASA5508 5516 が 100/full に設定されている場合に再起動後に通信できない |
|
|
dACL が適用された VPN クライアントの切断での ASA スタックトレース |
|
|
パスワードおよび ikev2 トンネルで ASA BGP ピアリングがフラッピングする |
|
|
IKEv2:crypto iskamp identity auto が機能しない - DN が IKE ID ではなく IP |
|
|
PRSM ダッシュボードでは RA-VPN トランザクションが 0 と表示される |
|
|
ASA:インターフェイス PAT を使用したクラスタ CCL で ICMP エラーループが発生する |
|
|
sfr トラフィックをフィルタ処理するとメモリ破損が発生する可能性がある |
|
|
複数 DHCP サーバのシナリオで、選択された DHCP サーバを DHCP プロキシが上書きする |
|
|
channel_put() での DNS トレースバック |
|
|
多数の ldap グループを使用した ldap_client_thread でのウォッチドッグのトレースバック |
|
|
WebVPN リライタでのトレースバック |
|
|
QEMU コアダンプ:qemu_thread_create:リソースを一時的に使用できない |
|
|
ASA 9.4 - TLS プロキシの server authenticate-client コマンドがない |
|
|
SSH 接続が ASA ではタイムアウトにならない(rtcli でスタック) |
|
|
スレッド名 EIGRP-IPv4 でのスタンバイ ASA のトレースバック |
|
|
ポータルを介して IEEE Web サイト検索機能にアクセスする際のリライタエラー |
|
|
「any」キーワードを使用すると ASA DNS Doctoring が機能しない |
|
|
名前が IP 引数に設定されていると起動時に PBR set ip next-hop が失われる |
|
|
dhcpd auto_config がすでに CLI から有効化されている場合、DHCP サーバのプロセスがスタックする |
|
|
ASA 9.4 - CoA パケットの送信元がトンネルグループ設定と一致しない |
|
|
ECMP の場合、ASA パケットトレーサとトレースキャプチャの結果が正しくない |
|
|
デフォルトのインスペクションエンジンがスタンバイ ASA では有効になるがアクティブ ASA では有効にならない |
|
|
SAML は Oracle OAM トンネルグループを選択できない |
|
|
ASA:スレッド名 DATAPATH-7-1918 でのトレースバック |
|
|
ページへのアクセス時に PCP 10.6 クライアントレス VPN アクセスが拒否される |
|
|
管理コンテキストがトランスペアレントモードの場合に BGP が動作しない |
|
|
ACL のクリアおよび再設定時の ASA 9.4.1 トレースバック |
|
|
スレッド名:DATAPATH-17-3095:クラスタ内の ASA が予期せずリロードされる |
|
|
クラスタリング NAT:UUT でクラスタを無効にした後にブレードでクラッシュが発生する |
|
|
libsrtp サービス妨害(DoS)の CVE-2015-6360 を評価する |
|
|
スレッド名 Unicorn Proxy Thread でのトレースバック |
|
|
RSA 4096 キー生成によってフェールオーバーが発生する |
|
|
ASA:アサーション「pp->pd == pd」が失敗:ファイル「main. c」、192 行 |
|
|
セッションマネージャのデバッグにおける識別子の欠落とログオフの最も古いラップの問題 |
|
|
CWS:ASA は XSS ヘッダーを付加しない |
|
|
ASA:Checkheaps でのトレースバック |
|
|
ASA がホストのゲートウェイ以外への初期 SYN を拒否しない |
|
|
9.3.2 以降は http 形式の認証に失敗する |
|
|
ECDSA 証明書を使用する場合の ASA トレースバック |
|
|
ユニコーン プロキシ スレッドでの ASA のトレースバック |
|
|
「failover standby config-lock」が ASA に正しくロードされない |
|
|
deny 句の PBR のルート選択が正しくない |
|
|
9.2 以降では、OSPF ネイバーが「reload in xx」コマンドの後にダウンする |
|
|
クラスタリング NAT:NAT 設定時に ASA がクラッシュする |
|
|
ASA:フェールオーバーがパスワード暗号化で機能していない |
|
|
ECDSA 証明書の使用時に VPN 接続が失敗する可能性がある |
|
|
コンパクトフラッシュを取り外して dir コマンドを実行した後の ASA 9.1.6.10 トレースバック |
|
|
DAP URL-List コマンドが 491 文字をサポートしていると表示するが、245 文字しかサポートしていない |
|
|
Windows クライアントでマルチリンク PPP が有効になっている場合に L2TP/IPSec が失敗する |
|
|
OSPFV3 テストの実行中に BOSC ランタイムバッファのオーバーフローエラーが検出される |
|
|
copy コマンドでイメージの整合性が検証されない |
|
|
IPv6:ASA がフェールオーバー時に ASA への IPv6-ICMP 要求を拒否する |
|
|
HA のプライマリおよびセカンダリ ASA がスレッド名 DataPath でトレースバックする |
|
|
DATAPATH での ASA 9.4.2 トレースバック |
|
|
Cisco ASA の IKEv1 および IKEv2 に関するバッファオーバーフローの脆弱性 |
|
|
ASA ERROR:FIPS Self-Test failure,fips_continuous_rng_test [-1:12:0:2:16] |
|
|
ASA の「show chunkstat | redirect」が機能しない |
|
|
ASA TCP ノーマライザのチェックサム検証を無効化できない |
|
|
DHE 暗号による SSL VPN 拡張テストでの ctm_ssl_generate_key のトレースバック |
|
|
PBR:ポリシーベースルーティングによるクラスタモードでのメモリリーク |
|
|
Gi 0/0 のポートチャネル設定によってブートループが発生する:FIPS 関連 |
|
|
ASA の WebVpn ポート フォワーディング バイナリの Cisco 署名付き証明書が期限切れ |
|
|
フェールオーバーペアにおいてトランスペアレントモードでの BVI アドレスの出力が異なる |
|
|
OpenSSL の pix-asa 脆弱性評価(2015 年 12 月) |
|
|
「set connection timeout idle」が適用されない |
|
|
ASA IPSEC crypto map set df-bit copy-df/clear-df が機能しない |
|
|
Cisco ASA の IKEv1 および IKEv2 に関するバッファオーバーフローの脆弱性 |
|
|
SIP インスペクションによるスレッド名 Datapath での ASA 9.5.1 トレースバック |
|
|
ASA でより大きな(4GB)コアダンプファイルシステムを設定できるようにする |
|
|
長いインターフェイス名を持つクラスタ ASA の DHCP リレーが失敗する |
|
|
SSL セッションが処理を停止:「Unable to create session directory」エラー |
|
|
インターフェイスでの webvpn の有効化、無効化後に ASA がコアダンプする |
|
|
ASA(9.5.2) が SFR リダイレクションを使用してクライアントに送信される ACK 番号を変更 |
|
|
ASA が disk1 の USB ドライブのフォーマットに失敗する |
|
|
WebVPN:特定のオンラインビデオを再生できない |
|
|
「no ipv6-vpn-addr-assign」CLI が機能していない |
|
|
DAP:debug dap trace が 1600 行を超えると正常に表示されない |
|
|
ASA L7 ポリシーマップはインスペクションが再適用されている場合にのみ影響を及ぼす |
|
|
ASA:スレッド IP Address Assign でのトレースバック |
|
|
webvpn キャッシュ無効メッセージが不適切なため、設定の問題が発生する場合がある |
|
|
IPAA でデバッグの改善が必要 - パート 2 - syslog 737034-737036 を追加する |
|
|
NTP 認証の動作が正しくない |
|
|
ASASM での arp の量が一定であるため、トラフィックがドロップする |
|
|
ASA:NAT ルールに FQDN オブジェクトを追加した後の ASA デバイスでのトレースバック |
|
|
大規模な ACL の表示中に ASA がクラッシュする |
|
|
IP ローカルプールと重複するポリシー NAT を ASA が追加できない |
|
|
スレッド名 IKE Daemon でのリロード |
|
|
shut/no sh 後に「show resource usage」が誤ったルート数を提供する |
|
|
ASA TACACS+:プロセス tacplus_snd による CPU の使用率が大きい |
|
|
PBR「set interface」でデフォルトおよび優先順位の低いルートを使用できない |
|
|
スレッド名 Unicorn Admin Handler での ASA トレースバック |
|
|
ASA クラスタでの Shun/脅威検出により、スタブ接続が切断される |
|
|
asp transactional-commit nat を有効にすると、nat プールの枯渇が確認される |
|
|
デュアルスタックの DNS 応答修正が期待どおりに機能しない |
|
|
ASA WebVPN:Java RDP プラグインが起動しない |
|
|
FIPS:継続的な RNG テストが誤ってエラーを報告する場合がある |
|
|
スレッド名 https_proxy での ASA トレースバック |
|
|
DATAPATH スレッドでの ASA トレースバック |
|
|
「backup」コマンドに AnyConnect クライアント プロファイル ファイルが含まれない |
|
|
CSCtz82865 を解決 -「show xlate count」コマンドと同等 |
|
|
Cisco ASA Linux カーネルの脆弱性:CVE-2016-0728 |
|
|
大きなダイナミック ACL を使用している ASA では AnyConnect 接続の障害が発生する可能性がある |
|
|
ASA5516 SSD がエンティティ MIB で誤った OID を報告する |
|
|
CIFS 経由でアップロード/ダウンロードされたファイルのバイトサイズがゼロ(同じ WebFolder) |
|
|
スレッド名 Unicorn Proxy Thread での ASA トレースバック |
|
|
スレッド名 idfw_proc を示す ASA トレースバックとリロード |
|
|
ASA:WRITE STANDBY の発行時にアクティブコンテキストで MAC アドレスが変わる |
|
|
Firefox 32 ビットバージョン 43 以降では、スマートトンネルが機能しない |
|
|
9.5(1) ECDSA CSR が KeyAgreement ではなく KU KeyEnciph を設定する |
|
|
コミュニティリスト名を再利用できない |
|
|
ASA:バージョン 9.4.2 でのトレースバックのアサート |
|
|
ユーザ名がアクセスリストに記載されている場合の ASA 5585 トレースバック |
|
|
TLS 処理時における CP Processing スレッドでの ASA ウォッチドッグのトレースバック |
|
|
スタンバイ ASA がリロード後に ASA-IC-6GE-SFP-B ifc 経由のトラフィックを通過させない |
|
|
VPN ロードバランシングは、IPv6 アドレスのロードバランシング証明書を送信しない |
|
|
ASA 9.5.2 は 512 ビット証明書の CERT_REQ を送信しない |
|
|
ldap 属性マッピングおよび password-management による ldap_client_thread でのトレースバック |
|
|
設定変更後の ASA アクセスリストでの要素の欠落および喪失 |
|
|
SSL エラーが原因で OWA 2013 に移動できない |
|
|
チェーン内の複数の証明書を検証する場合に OCSP 検証が失敗する |
|
|
L2L パケットの暗号化時にスレッド名 DATAPATH で ASA がリロードする |
|
|
ASA WebVPN:Kronos アプリケーションを使用時の Java 例外 |
|
|
許可されている場合でも、inspect ip-options で「NOP」が許可されない |
|
|
RAMFS dirent 構造でのバッファオーバーフローによりトレースバックが発生する |
|
|
FQDN が 64 文字を超える場合、FQDN ではなく ip にリダイレクトする |
|
|
「ctm->async_ref == 0」のアサートに失敗:ファイル「ssl_common.c」、193 行 - パート 2 |
|
|
FQDN を含むオブジェクトグループを変更する場合のスレッド名 idfw でのトレースバック |
|
|
クラスタパケットの再構築時におけるスレッド名 DATAPATH でのトレースバックをアサート |
|
|
WebVPN FTP クライアントがメッセージ「Error contacting host」で失敗する |
|
|
クラスタのスプリットブレイン後、元のマスターが防御できていない GARP パケットがある |
|
|
FO replication failed: cmd=no disable(webvpn-cache の無効化時) |
|
|
webworker JS でのリライタエラー |
|
|
不適切な変数タイプの Radius 属性を受け取った場合の ASA トレースバック |
|
|
ASA では EIGRP の候補のデフォルトルート情報が抑制されない |
|
|
ASA クライアントレスリライタが「CSCOPut_hash」関数でエラーになる |
|
|
ENH:ASAv には事前にロードされた別の証明書が必要である |
|
|
strncpy_sx.c による ASA トレースバックとリロード |
|
|
javascript エラーにより、イントラネットページが WebVPN 経由でロードされない |
|
|
CSCOPut_hash は予期しない要求を開始できる |
バージョン 9.4(2.145) で解決済みのバグ
9.4(2.145) で修正されたバグはありませんでした。
バージョン 9.4(2) で解決済みのバグ
シスコサポート契約がある場合は、次の検索を使用して、バージョン 9.4(2) で重大度 3 以上の解決済みのバグを検索できます。
次の一覧表は、このリリース ノートの発行時点で解決済みのバグです。
|
ID |
説明 |
|---|---|
|
ドメイン名に大文字を使用すると動的フィルタを回避できる |
|
|
8.3 では MPF への max_conn/em_limit の移行が正しく機能しない |
|
|
グループポリシーで使用されている場合でも、設定されたアドレスプールを削除できる |
|
|
証明書マップ下で同一の行を複数追加することが可能である |
|
|
「show aaa-server」コマンドの前回のトランザクション時刻が変化する |
|
|
「xlate count」の GET BULK に対するクエリ時に SNMP でトレースバックが発生する |
|
|
タイプ 0 ルーティングヘッダーのコードを削除する |
|
|
IPv6 パケットの完全フラグメントリアセンブルのチェックをバイパスできる |
|
|
ISAKMP デバッグで誤ったメッセージ ID およびデータ長が表示される |
|
|
pat-pool に以前に使用されたオブジェクトグループを NAT に使用することができない |
|
|
HTML/Java ファイルブラウザ - 作成したファイルまたはフォルダの日付が 9 ヵ月ずれて表示される |
|
|
マッピングされたオブジェクトを含む pat-pool のエラーメッセージが紛らわしい |
|
|
IPv6 ND がスレーブユニットに複製されない |
|
|
ASA WebVPN:3 つを超える CA 証明書では Java Signer Certificate チェーンが不完全になる |
|
|
show processes memory の出力に関する複数の問題 |
|
|
Cisco ASA の SNMP に関するサービス妨害(DoS)の脆弱性 |
|
|
ASA DNS ルックアップが IPv6 応答を常に優先する |
|
|
ASA の「debug webvpn anyconnect 255」で空の証明書が表示されない問題 |
|
|
新しい JRE を使用する Windows 8 では、IE からスマートトンネルにアクセスできない |
|
|
フェールオーバー設定によってトレースバックおよびリロードがトリガーされる |
|
|
WebVPN Citrix クライアントブラウザで Java クライアントを優先して保存することができない |
|
|
ASA 8.4 での ASP テーブルの重複エントリによるメモリリーク |
|
|
WEBVPN:IE10/Windows 7 で Citrix 5/6 アプリケーションが起動しない |
|
|
From フィールドに "" および \ を含む SIP INVITE パケットが ASA/ASASM でドロップされる |
|
|
ヒットレスアップグレード時のスタンバイ ASA でのトレースバック |
|
|
クラスタリングを使用する ASA と N7K の間における SXP バージョンの不一致 |
|
|
ルーティングテーブルで RRI スタティックルーティングの変更が更新されない |
|
|
syslog でマスクされるユーザ名を制御するための CLI を追加する |
|
|
ASA 9.2.1 - L2 クラスタ環境での DATAPATH のトレースバック |
|
|
Cisco ASA のフェールオーバー コマンド インジェクションの脆弱性 |
|
|
スタンバイ ASA ユニットでの LU 割り当て接続の失敗 |
|
|
大規模な設定を複製した後の要求設定での RPC エラー |
|
|
QEMU virtqueue_map_sg() 関数の入力検証に関するバッファオーバーフローの脆弱性 |
|
|
PPTP VPN over GRE に関する NetFlow の誤ったレポート |
|
|
Codenomicon HTTP サーバスイートによってクラッシュが発生する可能性がある |
|
|
ASA:データプレーンキャプチャでサービスモジュールから ASA へのパケットがキャプチャされない |
|
|
ASDM のアップロードによりトレースバックが発生する(OCTEON_CRYPTO:SG バッファが制限を超えています(OCTEON_CRYPTO: SG buffers exceeds limit)) |
|
|
Spyker A でのシームレスなアップグレードにより、両方の ASA ユニットでエラーメッセージが大量に発生する |
|
|
「no nameif」でポリシールート設定が削除される |
|
|
一部の syslog での改行後の余分なスペース |
|
|
Cisco ASA の DHCPv6 リレーに関する DoS の脆弱性 |
|
|
TLS 1.2 ではカットスループロキシが正しく機能しない |
|
|
ASA:BGP show コマンド適用中のスレッド名 SSH でのトレースバック |
|
|
AC 2.5 から AC 3.1 への AnyConnect のアップグレードに失敗する |
|
|
WebVPN リライタ:「parse」メソッドがセミコロンではなく波カッコを返す |
|
|
Cisco ASA XAUTH バイパスの脆弱性 |
|
|
Saleen シリアル番号を使用した SCH 登録の問題 |
|
|
スレッド名 fover_parse での ASA トレースバック |
|
|
Cisco ASA の DHCPv6 リレーに関するサービス妨害(DoS)の脆弱性 |
|
|
ASA - スレッド名 fover_parse でのトレースバック |
|
|
Kenton 5516:インターフェイスでトラフィック負荷時のフラッピング後に ARP がドロップされる |
|
|
ASA 9.1.5 では RST+ACK フラグの受信後に接続がドロップされないことがある |
|
|
9.1.5 では HTTPS を使用した VPNLB アドレスへの HTTP リダイレクトが失敗する |
|
|
ASA - スレッド名 CERT API でのトレースバック |
|
|
ルートマップの警告メッセージが紛らわしい |
|
|
5506-X:「no buffer」インターフェイスカウンタで報告されるエラー数が正しくない |
|
|
ASA 9.3.2 SSL がエラーで機能しない:%ASA-4-402123:CRYPTO: |
|
|
ASA で TLS 1.2 を使用すると LDAP over SSL が失敗する |
|
|
オーバーレイを閉じる機能がリライタで動作しない |
|
|
Cisco ASA の PIM マルチキャスト登録に関する脆弱性 |
|
|
ASA のインターフェイスからの ICMP エコー応答パケットの TOS 値を ASA がクリアする |
|
|
assertion "mh->mh_mem_pool > MEMPOOL_UNDEFINED && mh->mh_mem_pool < MEMP |
|
|
適切な TP が常駐 CA 証明書よりも上位にあると ASA の証明書検証が失敗する |
|
|
inspect esmtp がパケットデータを「X」に置き換える |
|
|
デバッグで CiscoTAC-1 プロファイルがトランスポートゲートウェイをポイントしている場合、ASAv がクラッシュする |
|
|
ジャンボフレームを使用したマルチキャストパケットでの 255 を超えるメッセージ |
|
|
ASA:キーワード「log disable」を指定しても ACL ロギングが無効にならない |
|
|
Codenomicon からの OSPFv2 パケットで ASA がクラッシュする |
|
|
IKEv2:スタティックピアでダイナミック暗号マップによって IPSec SA が作成される |
|
|
PBR:有効な set next-hop がないと DF および DSCP ビットが設定されない |
|
|
L2TP over IPSec の Radius Acct-Terminate-Cause が正しくない |
|
|
手動 NAT ルールの追加時にメモリリークが発生する |
|
|
Exception on asdm_handler stream line: </threat-detection> |
|
|
DMA メモリの枯渇による SSL ライブラリでの ASA トレースバック |
|
|
config-register == 0x41 の場合にネットワークオブジェクト NAT が機能しない |
|
|
NAT のオブジェクトグループにサブネットを追加すると CPU 使用率が高くなる |
|
|
インターフェイスに IP アドレスがないと「client-services」が受け付けられない |
|
|
二重ブロックの解放による DATAPATH スレッドでの ASA トレースバック |
|
|
Cisco ASA の ISAKMP に関するサービス妨害(DoS)の脆弱性 |
|
|
Cisco ASA VPN XML パーサーに関するサービス妨害(DoS)の脆弱性 |
|
|
DATAPATH での ASA クラスタメンバのトレースバック |
|
|
ASA WEBVPN:認証が失敗した場合にユーザ名が「*」としてログに表示される |
|
|
1 つの ASA またはコンテキストで重複する IPv6 アドレスを設定できる |
|
|
ネイバーからの OSPF LS アップデートメッセージを ASA がサイレントにドロップする |
|
|
マルチコンテキスト モードで設定された TCP syslog を使用して ASA がトラフィックをドロップしている |
|
|
Cisco ASA の DNS に関するサービス妨害(DoS)の脆弱性 |
|
|
ASA SSLVPN クライアントでの証明書検証エラー - SSL Lib error: bad rsa signature |
|
|
フェールオーバー後に NFS 接続がタイムアウトしない |
|
|
インターフェイスモードの DHCPRelay サーバが削除されない |
|
|
TLS の esmtp デフォルトパラメータの処理 |
|
|
ASA:.JS および .JNLP URL の XFRAME サポート |
|
|
フェールオーバーの両方の ASA が同じ MAC アドレスを使用する |
|
|
設定の複製後にスタンバイ ASA で OSPF ルートが適用されない |
|
|
フェールオーバーアセンブリが永続的にアクティブ-アクティブの状態のままになる |
|
|
ASA では認証なしで Citrix ICA 接続を使用できる |
|
|
Cisco ASA 管理インターフェイス XML パーサーに関する DoS の脆弱性 |
|
|
ASA で AnyConnect SSL VPN の証明書認証が失敗する |
|
|
[ASA] プロキシ ACL の port_argument が gt の場合に CTP が機能しない |
|
|
PPPoE セッション状態タイマーが正しく初期化されない |
|
|
L2TP/IPSec の最適 MSS が想定と異なる |
|
|
ASA 9.2.1 の EIGRP 認証は 16 文字のキーでは機能しない |
|
|
aaa_shim_thread での ASA トレースバック / dACL インストールのコマンド許可が実行される |
|
|
AAA:ASA 9.3(2) で RSA/SDI 統合が失敗する - ノード秘密の問題 |
|
|
フェールオーバー設定のアクティブ ASA が自動的に再起動する |
|
|
ScanSafe タワーへの ASA のリダイレクトが失敗し、ログ ID「775002」が syslog に記録される |
|
|
[ASA] access-list ACL_name standard permit host 0.0.0.0 が削除される |
|
|
webvpn 経由でのビデオトラックタグの送信元 URL がマングリングされない |
|
|
コンテキストが削除されるとクラスタが不安定になる |
|
|
8.4.x へのアップグレード時にセカンダリ ASA が設定の同期でスタックする |
|
|
単純なパスワードでは EIGRP 認証が機能しない |
|
|
WebVPN:Peoplesoft アプリケーション上の JS 内の「eval」式による書き換えの問題 |
|
|
セッションの終了後に Per-Session PAT RST が誤った方向に送信される |
|
|
snp_cluster_get_buffer でのトレースバック |
|
|
フェールオーバー ASA 間で EIGRP 設定が正しく複製されない |
|
|
DNS サーバが「No such name」で応答する場合の 2048 バイトブロックのリーク |
|
|
2015 年 3 月 OpenSSL 脆弱性 |
|
|
スレッド CP Processing でのトレースバック |
|
|
誤った証明書チェーンが接続元 IPSec クライアントに送信される |
|
|
ASA:CL SSL ポータルから AC クライアントへの RDP 接続が原因でスタンバイでの CPU 使用率が高い |
|
|
TD tcp-intercept 機能による ASA トレースバック |
|
|
show cluster mem が誤った値を示す |
|
|
DHCP でホスト名の破損が発生する可能性がある |
|
|
Cisco ASA の OSPFv2 に関するサービス妨害(DoS)の脆弱性 |
|
|
ASA トンネルグループの「password-expire-in-days」がパスワードの変更を要求しない |
|
|
クラスタリング:トランスペアレント ファイアウォールでの DATAPATH のトレースバック |
|
|
WebVPN:クライアントレスポータルで TS Web が機能しない |
|
|
「vpn-overlap-conflict」により L2TP/IPsec トラフィックがドロップされる |
|
|
ASA で to-the-box UDP トラフィックが検査されずにドロップされる |
|
|
ASA:上位 10 ユーザのステータスが ASDM から有効化されない |
|
|
ローエンド ASA プラットフォームでの jumbo-frame reservation の影響を調査する |
|
|
CRYPTO_PKI: ERROR: Unable to allocate new session. 最大セッション数に到達した |
|
|
L2TP over IPSec の Radius Acct-Terminate-Cause が正しくない |
|
|
ASA WebVPN クライアントレス Cookie 認証のバイパス |
|
|
PKI:IKEv2 L2L 設定での潜在的な PKI セッションハンドルのリーク |
|
|
PPP での ASA トレースバック |
|
|
誤った IP アドレスが割り当てられた Ikev2 セッションが ASA 上で存続する |
|
|
実行中の ASA では USB デバイスのホットプラグがサポートされない |
|
|
Sharepoint からのイメージのダウンロードに関する問題 |
|
|
ASA:SFR モジュールがインストールされている場合にパケットがサイレントにドロップされる |
|
|
vpnfol_thread_msg での ASA トレースバック |
|
|
スレッド名 CP Processing での ASA トレースバック |
|
|
ASA 9.0.3 で許可された UDP トラフィックがロギングされない |
|
|
ASA:AnyConnect IPv6 Traceroute が期待どおりに動作しない |
|
|
ASA:パスワードの作成日が再起動のたびに 1 日ずつ戻る |
|
|
ASA:9.3.2 へのアップグレード後に ECMP の動作が停止する |
|
|
sfr monitor-only のデモおよび評価に関する警告を削除する |
|
|
IPv6 アドレスに到達できない場合には DNS で IPv4 ルックアップを実行する必要がある |
|
|
snmpwalk により ASA で低速なメモリリークが発生する |
|
|
「ssh scopy enable」が設定から削除される |
|
|
RHEL(7.1)/ OpenStack(Juno)を使用して展開した場合に ASAv-KVM を起動できない |
|
|
Cisco ASA の DNS に関するサービス妨害(DoS)の脆弱性 |
|
|
ASA QoS プライオリティキューの tx-ring-limit 512 によって LLQ に大きな影響が生じる |
|
|
ASAv:RSA キーペアを 2048 ビットで自動的に生成する必要がある |
|
|
match または access-list の使用時に ASA データプレーンキャプチャでパケットがキャプチャされない |
|
|
asp-drop キャプチャにドロップの理由がない |
|
|
ASA:フェールオーバー ロギング メッセージがユーザコンテキストに表示される |
|
|
ASA WebVPN:HTTP 302 ロケーション URL が誤って書き換えられる |
|
|
ASA WebVPN:jQuery ベースのカレンダーテーブルがロードできない(空のフレーム) |
|
|
上限に達していない場合の「ASA %ASA-3-201011:接続制限の超過(ASA %ASA-3-201011: Connection limit exceeded)」 |
|
|
ASA インスペクション - MPF ACL の変更が ASP テーブルに正しく挿入されない |
|
|
オブジェクト NAT ルールが一致しない |
|
|
ASA:スレッド名 AAA でのトレースバック |
|
|
ASA クラスタ:VPN トンネル宛ての ICMP パケットの CCL での ICMP ループ |
|
|
AAA Authorization HTTP がユーザ名を認証のパスワードフィールドで送信する |
|
|
ASA OSPF データベースに変更が反映されない |
|
|
ASA WebVPN:内部ポータルへのアクセス時に javascript が実行に失敗する |
|
|
ASA 5506X:暗号化アクセラレータの呼び出しタイムアウトにより ESP パケットがドロップされる |
|
|
eglibc 2.18 にアップストリーム修正 #15073 がない |
|
|
「max simultaneous-login restriction」エラーで証明書認証が失敗する |
|
|
リンクローカルアドレスとグローバルアドレスを同時に設定すると IPv6 ローカルホストルートが失敗する |
|
|
スレッド名 idfw_proc での ASA トレースバック |
|
|
ASA の名前制約 dirName が適切に検証されない |
|
|
cp_syslog での ASA トレースバック |
|
|
異なるタイプの名前制約がある場合に ASA の CA 証明書インポートが失敗する |
|
|
ASA - アクセスリストの address 引数が host 0.0.0.0 から host :: に変更される |
|
|
WebVpn:再ログイン後にポータルが表示されない |
|
|
ASA が TLS レコードの MAC をチェックしない |
|
|
ASA が NSSA での OSPF 再配布で転送アドレスまたは P ビットを設定しない |
|
|
インターフェイスへのゾーンメンバーシップの追加時にすべてのスタティックルートが削除されない |
|
|
ASA Remote Access - xauth 後にフェーズ 1 が終了する |
|
|
ASA で CWS にリダイレクトされる https トラフィックではデフォルト以外のポートが 443 に変更される |
|
|
9.5.2 Gold Setup - DATAPATH-6-2596 snp_fp_get_frag_chain でのトレースバック |
|
|
直接接続された送信元に対する PIM Register パケットを ASA が生成しない |
|
|
ASA が AES-GCM ICV のエラーを正しく処理しない |
|
|
空の DAP ユーザメッセージが原因でスタンドアロン AnyConnect が接続に失敗する |
|
|
あるコンテキストで設定された auth-prompt が別のコンテキストで表示される |
|
|
スレッド CP Processing でのトレースバック |
|
|
クラスタユニットからの設定の同期時に暗号マップでトラストポイントが失われる |
|
|
Kenton:ASA5516 の場合、ASAOS では 250 ではなく 300 の SSLVPN セッションをサポートする必要がある |
|
|
show local-host コマンドで CPU 占有が発生する問題による ASA のフェールオーバー |
|
|
すべてのデータインターフェイスがシャットダウンされた超低負荷型の起動後にトラップが送信されない |
|
|
ASA - URL フィルタ - スレッド名 uauth_urlb clean でのトレースバック |
|
|
Confluence での Webvpn の書き換えに関する問題 - 最新の v6.4.5 の atlassian で |
|
|
ASA tunnel-group-map にスペースを含めることができない |
|
|
OpenSSL の評価(2015 年 6 月) |
|
|
フェールオーバーおよびリロード直後の DHCP-DHCP Proxy スレッドでのトレースバック |
|
|
スレッド名 ssh/client での ASA トレースバック |
|
|
conn-max カウンタが適切に減少しない |
|
|
WebVPN に使用する場合の DATAPATH での ASAv トレースバック |
|
|
パケットトレーサフェーズの「追加」フィールドでアンパサンド(&)がエンコードされない |
|
|
復号化されたパケットでフローバイトが二重にカウントされる |
|
|
ASA が AnyConnect の再配布ネットワークについて OSPF でゼロ以外の FA を設定する |
|
|
Cisco ASA Poodle TLS バリアント |
|
|
ASA:ASA での SCP を使用したファイルコピー時のトレースバック |
|
|
authorization auto-enable の使用時に「terminal pager」がクリアされない |
|
|
WebVPN ポータルへの SSL 接続の失敗 |
|
|
ルートが存在している場合でも ASA-3-317012 および「No route to host」エラーが発生する |
|
|
BMC SEL ログがいっぱいになったときに Saleen アラーム LED が点灯する |
|
|
ASA:暗号マップエントリが複数ある場合に L2L トンネルを介した OSPF が機能しない |
|
|
ASA:IDFW AD エージェントでのトレースバック |
|
|
NTP が設定されている場合に EEM アクションが絶対時間に実行されない |
|
|
スタンバイ ipv6 アドレス設定がスタンバイに複製されない |
|
|
ASA 上のクライアントレス webvpn で asmx ファイルが表示されない |
|
|
js_parser_print_rest でのトレースバックを防止する必要がある |
|
|
新しい行を拡張 ACL に追加する際の ssh での ASA トレースバック |
|
|
エラーメッセージに関係なくゾーンの使用時に ikev2 enable が設定に追加される |
|
|
ASA:CLI コマンドでローカル認証のヘルプ(?)オプションが表示されない |
|
|
ASA:「自動有効化」機能が PKF を使用して設定された SSH で動作しない |
|
|
ASA5505 での永久ベースライセンス、時間ベースの SecPlus、フェールオーバー、VLAN 数の問題 |
|
|
コンテキストの削除時に「router eigrp」の「redistribute」コマンドが削除される |
|
|
ASA LDAP CRL クエリの baseObject DN 文字列の形式が正しくない |
|
|
RSA キーを使用するサブ CA が ECDSA を使用するルートによって署名されている場合に、TP 認証が失敗する |
|
|
APCF が設定されている場合の regcomp_unicorn でのメモリリーク |
|
|
別のコンテキストから AAA サーバを削除した場合に認証できない |
|
|
ASA:ASA フラッシュへの設定の保存やファイルのコピーができない |
|
|
ASA:pkp エラーで TLS プロキシが失敗する |
|
|
ルータでのハードリセット後に ASA で bgp ipv6 ネイバーシップが失敗する |
|
|
Activex で負荷が高い場合に ASA SSLVPN RDP プラグインセッションがフリーズする |
|
|
AddThis ウィジェットが表示されず、Unicorn Proxy Thread でのトレースバックが発生する |
|
|
ASA:LDAP over SSL 認証の失敗 |
|
|
IKEv2 を使用する ASA が NAT_DETECTION_SOURCE_IP の 10 を超えるペイロードを拒否する |
|
|
ネクストヘッダーが 8 の IPv6 パケットがフェールオーバーコードによってドロップされる |
|
|
ASA:「log default」キーワードのある ACE を削除できない |
|
|
ファイルのダウンロードでリライタが 302 を返す |
|
|
ASA クラスタ - サービスポリシーの「current conns」カウンタが正しくない |
|
|
フェールオーバー後にダイナミックルートがインストールされない |
|
|
ASA:スレッド名 SXP CORE でのウォッチドッグのトレースバック |
|
|
トレースオプションを使用してパケットキャプチャを表示する際に ASA がトレースバックすることがある |
|
|
SSL:ノードをクラスタに参加させることができない |
|
|
5500-X のポートチャネル インターフェイスで「管理専用」を変更できない |
|
|
ASA PKI:9.1(6.4) / 9.1(6.6) / 9.1(6.8) へのアップグレード後に証明書の認証が失敗する |
|
|
Cisco ASA Unicast Reverse Path Forwarding(uRPF)のバイパスの脆弱性 |
|
|
Cisco ASA クライアントレス SSL VPN ポータルがハングする |
|
|
システムスペースで「show ipv6 neighbor」コマンドを使用できない |
|
|
HTTP チャンクデータによるウォッチドッグのトレースバック |
|
|
Cisco ASA VPN に関するメモリブロック枯渇の脆弱性 |
|
|
カスタマイズのエクスポートを伴う設定の複製時におけるスタンバイのトレースバック |
|
|
tunnel-group name にスペースを含めて group-lock 値を設定できる |
|
|
Webvpn:基盤となる接続を閉じると JS パーサーがクラッシュする可能性がある |
|
|
RAMFS 処理を使用したユニコーンプロキシスレッドでのトレースバック |
|
|
CA/subCA に名前制約が含まれている場合に RA の検証が失敗する |
|
|
アップグレード後に ACL のすべてのコメントが各 ACL の末尾にプッシュされる |
|
|
ASA 設定で snort がダウンしている場合にパケットが通過できるようにする |
|
|
ASA Lina:デバッグメニューオプション 20 でのメモリリークを修正する |
|
|
ASA が RA VPN クライアント(ISE 1.3+)について url-redirect を 160 文字で切り捨てる |
|
|
ASA:webvpn によるスレッド名 Checkheaps でのトレースバック |
|
|
WebVPN ストレステストを使用した ak47_platform.c での ASA 9.3.3.224 トレースバック |
|
|
5512 の Chivas Beta でアクティブ FTP データが Firepower によってブロックされる |
バージョン 9.4(1.225) で解決済みのバグ
9.4(1.225) で修正されたバグはありませんでした。
バージョン 9.4(1.200) で解決済みのバグ
9.4(1.200) で修正されたバグはありませんでした。
バージョン 9.4(1.152) で解決済みのバグ
9.4(1.152) で修正されたバグはありませんでした。
バージョン 9.4(1) で解決済みのバグ
シスコサポート契約がある場合は、次の検索を使用して、バージョン 9.4(1) で重大度 3 以上の解決済みのバグを検索できます。
次の一覧表は、このリリース ノートの発行時点で解決済みのバグです。
|
ID |
説明 |
|---|---|
|
認証プロキシで UDP telnet/ftp/http/https が代行受信される |
|
|
ca enrollment-retrieval のタイムアウト後に .pkcs12 が取得されるべきでない |
|
|
TACACS+ での応答タイプ確認の失敗 |
|
|
コンテキストのカスケード接続時に 2 番目のコンテキストで Syslog 106100 が生成されない |
|
|
特定のコード関数で入力検証がない |
|
|
%ASA-6-603106 および %ASA-6-603108 メッセージが 3 行に分けて出力される |
|
|
Arsenal:サービスタイプが ftp である 2 回目の NAT が機能しない |
|
|
AAA UAuth で設定された ACL の編集時にトレースバックが発生する |
|
|
ASA:L2L トンネルグループの名前変更時における警告メッセージを変更する |
|
|
一部の IKEv2 L2L 設定で誤った認証タイプを ASA が表示する |
|
|
ユニットのリロード後にクラスタの NTP 設定がスレーブに複製されない |
|
|
WebVPN:最新の JQuery ライブラリが ASA で機能しない |
|
|
Linux カーネルの無効な fs および gs レジストリ KVM に関するサービス妨害(Dos)の脆弱性 |
|
|
Linux カーネルの agp_generic_remove_memory() に関するローカル特権昇格の脆弱性 |
|
|
ASA SSL:TLSv1 のみのモード時に SSLv3 の受け入れが継続される |
|
|
アイドルタイマーおよびハーフクローズ アイドル タイマーがシーケンス外の SYN によってリセットされる |
|
|
認証に成功しても、http ブラウザでエラーメッセージが表示される |
|
|
IPv6 ND がスレーブユニットに複製されない |
|
|
Cisco ASA の SNMP に関するサービス妨害(DoS)の脆弱性 |
|
|
CTM デーモンでのアサート |
|
|
capture コマンドにおけるスレッド名 SSH での ASA5585-SSP60 のトレースバック |
|
|
1 つの IKEv2 SA に重複する複数の子 SA が作成され、vpn-overlap-conflict でトラフィックがドロップされる |
|
|
ASA で「write standby」コマンドを 2 回入力するとトレースバックが発生する場合がある |
|
|
構築された ICMPv6 エコー応答に対する「パケットが大きすぎる」というメッセージが ASA で認識されない |
|
|
ASA で IKEv1 クライアントによるアドレス割り当てのバイパスが可能なために、競合が発生する |
|
|
Cisco ASA の CSCdw10748 に対する修正 |
|
|
Cisco ASA に関する情報漏えいの脆弱性 |
|
|
TLS プロキシのキャプチャ復号化で大きな SIP セグメントが処理されない |
|
|
ASA - DATAPATH-0-1275 でのトレースバック |
|
|
HA:MFM での「Interfaces on Active and Standby are not consistent」というメッセージ |
|
|
二要素認証でアカウンティングが rfc ごとでない |
|
|
ASA が不正確なトンネル数を ASDM に提供する |
|
|
書き換え時にラベル長を超えたため ASA が DNS PTR リレーをドロップする |
|
|
「verify /signature running」コマンドの出力が ssh 経由で表示されない |
|
|
「show crypto accelerator load-balance」の実行時におけるトレースバック |
|
|
ローカルプールアドレスが解放されない -> 重複するローカルプールアドレスが見つかる |
|
|
SCP コピー操作により syslog で機密情報が公開される |
|
|
フェールオーバー設定によってトレースバックおよびリロードがトリガーされる |
|
|
DHCP リレーとして ASA が設定されている場合に、DHCP オファーがクライアントに転送されない |
|
|
ASA:アップグレード後にプロセッサ温度が上がる |
|
|
ASA のリロード後に静的 IP アドレスを使用した PPPoE でパケットが拒否される |
|
|
WCCP によってトレースバックが発生する |
|
|
Cisco ASA の IPSEC フェールオーバーでフェールオーバーリンクが暗号化されない |
|
|
ASA:PPPoE が設定されている場合に timeout floating-conn が機能しない |
|
|
スレッド名 qos_metric_daemon でのトレースバックが asdm history enable によって発生する |
|
|
ASA:CLI コマンドでローカル認証のオプションが表示されない |
|
|
Wireshark での TLS プロキシのパケットキャプチャで IPv6 パケットが誤って表示される |
|
|
nbns-server 設定による 256 バイトフラグメントでの DMA メモリリーク |
|
|
ボットネットフィルタによってドロップされた接続の RST パケットを ASA が送信しない |
|
|
DHE を使用した複数の SSL セッションの起動時にトレースバックが発生する可能性がある |
|
|
複数のトラストポイントでキー再生成された CA が設定されていると、ASA が誤ったトラストポイントを使用する場合がある |
|
|
ASA が PIM Register メッセージを RP に送信しない |
|
|
DATAPATH スレッドでのクラスタの ASA トレースバック |
|
|
ウォッチドッグによるスレッド名 ssh での ASA トレースバック |
|
|
管理対象設定フラグが RA に存在する場合に IPv6 ステートレス自動設定が失敗する |
|
|
ASA L2TP スプリットトンネル DHCPC:DHCP デーモンが未初期化のメッセージを受け取る |
|
|
ASA:特定の privilege コマンドのレプリケーション時におけるスタンバイのトレースバック |
|
|
ASA ローカル CA が予期しない更新リマインダメッセージを生成する |
|
|
Cisco ASA ソフトウェアバージョンに関する情報漏えいの脆弱性 |
|
|
ASA クラスタリングを使用した clacp_enforce_load_balance でのトレースバック |
|
|
sla monitor により ASA クラスタスレーブユニットでデフォルトルートが失われる |
|
|
Cisco ASA SSL VPN に関するメモリブロック枯渇の脆弱性 |
|
|
ASA トレースバック:スレッド名「scansafe_poll」 |
|
|
ASA:80 バイト メモリ ブロックの枯渇 |
|
|
DATAPATH-0-2078 スレッドでの ASA トレースバック |
|
|
ASA:ACL FQDN オブジェクトグループでのページフォールトのトレースバック |
|
|
クライアントレス WebVPN セッション Cookie には設定可能な HttpOnly フラグが必要である |
|
|
ASA クラスタ:スレッド名 DATAPATH-3-132 での IDFW のトレースバック |
|
|
Cisco ASA の DNS に関するメモリ枯渇の脆弱性 |
|
|
トランスペアレントモードでのスタンバイコンテキストで、write standby の実行時に、インスペクションルールがデフォルトになる |
|
|
ASA5580 の speed nonegotiate 設定で shut/no shut 後にリンクがダウンしたままになる |
|
|
親グループでユーザメンバーシップが更新されない |
|
|
ASA:ゼロ以外の ACK 番号を使用して(また ACK フラグがクリアされて)RST パケットが転送される |
|
|
スタンバイユニット上に 1 つのトラストポイントに関連する 2 つの証明書がある |
|
|
オブジェクトグループ検索で正当なトラフィックが ACL によってドロップされる |
|
|
クラスタに参加しようとしたときに、メモリ不足により、ASA でトレースバックが発生する |
|
|
サービス オブジェクト グループを含む ACL で ASA ACL のヒットカウントが正しくない |
|
|
ヒットレスアップグレード時のスタンバイ ASA でのトレースバック |
|
|
ユーザの認証試行を制限する ASA カットスループロキシ |
|
|
WebVPN Citrix IPv6 接続が失敗する |
|
|
サーバインターフェイスの変更後に DHCP リレーがリロードする |
|
|
SDI 認証が複数のコンテキストで機能しない |
|
|
ネストされたカスタムの書き込み関数により、リライタで空白のページが出力される |
|
|
ASA の脅威検出でルーティングテーブルに基づいて攻撃者に対する Shun エントリを追加する |
|
|
Cisco ASA のフェールオーバー コマンド インジェクションの脆弱性 |
|
|
ASA:SSLv3 POODLE 脆弱性の評価 |
|
|
リダイレクトされた HTTP トラフィックでコントロールプレーン ACL が機能しない |
|
|
c_idfw.c でのスタンバイユニットにおける ASA アサートトレースバック |
|
|
トレースバック:pki-crl:スレッド名:Crypto CA、VPN L2L 経由のトラフィックを使用 |
|
|
トラストポイントの期限切れ後に SCH でトラストプールが使用されない |
|
|
プロキシ照合での不一致による ASA クライアントのログインタイムアウトの問題 |
|
|
OpenSSL DTLS SRTP メモリリークの評価 - CVE-2014-3513 |
|
|
syslog に関連付けられた 16 進コードが古い ACE/ACL から参照される |
|
|
セッション チケット メモリ リークの評価(CVE-2014-3567) |
|
|
ASA によって EIGRP タグが誤って送信される |
|
|
ASA DSCP マーキングがすべての SSL トラフィックに適用される |
|
|
CoA:ASA が 2 番目の CoA 更新後に ACL のない AC SSL セッションを終了する |
|
|
DFP、SFR、および debug SFR を使用した L2L テストにより、ASA が応答しなくなる |
|
|
HTTP および FTP コピー操作により syslog で機密情報が公開される |
|
|
Mac バージョンのスマートトンネルで脆弱性となる SSLv3 が使用されている |
|
|
サービスポリシーの追加時にグローバル ID の割り当てに失敗する |
|
|
hash_table_simple.c:192 でのトレースバック |
|
|
DHCPV6 リレーエージェント機能で ASA がクラッシュする |
|
|
vpnfol_thread_msg スレッドでの ASA のクラッシュ |
|
|
ユニコーンでセッション DIR を削除する際の fiber_create エラーによるトレースバック |
|
|
Webvpn:重要性が高くない URL の XFRAME のサポート |
|
|
javascript 関数を使用した webvpn href - 引数が「誤って \ に書き換えられる」 |
|
|
ASA アカウンティング要求に radius-class(25) 属性が含まれていない |
|
|
ASA 9.1(5.16) へのアップグレード後にログでユーザ名がアスタリスクによって隠される |
|
|
大規模な設定を複製した後の要求設定での RPC エラー |
|
|
パントのないカットスルーで、検査済みの接続がスタンバイユニットに複製されない |
|
|
負荷が高い場合に ASA/SFR データプレーン接続がドロップされる可能性がある |
|
|
コピー文字列に含まれていない場合に ASA SCP クライアントがパスワードの入力を要求しない |
|
|
ASA:idfw_proc でのトレースバック |
|
|
WebVPN:デフォルト以外の FTP ポートをファイル参照に使用できない |
|
|
snp_mp_svc_udp_upstream_data 関数での DATAPATH のトレースバック |
|
|
スレッド名 DATAPATH-6-2544 での ASA トレースバック |
|
|
NAT transactional-commit が有効な場合に、NAT プールアドレスの配布が失敗する |
|
|
スレッド名 DATAPATH-3-1274 での ASA トレースバック |
|
|
ASA SMTP インスペクションでは TLS をデフォルトで無効にすべきでない |
|
|
TLS1.x DHE 暗号を使用した SSL VPN での ASA の散発的な暗号化エラー |
|
|
サービス オブジェクトグループ エントリの削除時に ACL ルールが削除されない |
|
|
FIPS が有効な場合のアップグレード時における ASA クラッシュのループ |
|
|
オブジェクトの名前変更時に ACL ハッシュが更新されない |
|
|
登録済みモジュールの機能に ScanSafe 機能がない |
|
|
ASA:CoA が有効な場合の 256 バイトブロックの枯渇 |
|
|
スレッド名 ci/console、アサーション「snp_sp_action.c」での ASA トレースバック |
|
|
9.2.1 以降の ASA で L2L トンネルを介した OSPF が破損する |
|
|
ASA5506:パケットトレーサで出力インターフェイスが「NP Identity Ifc」と表示される |
|
|
クラスタ CCL リンクでの潜在的な ICMP エラーストーム |
|
|
ASA IPSEC クライアント PKI の証明書からのユーザ名の認証失敗 |
|
|
ASA:Ikev1 設定の変更時におけるトレースバック |
|
|
ASA フェールオーバーおよびクラスタで NTP 認証設定の複製が失敗する |
|
|
ASA - RADIUS Access-Request パケットに空のフィールドが追加される |
|
|
AC IKEv2 で AC Essentials が有効な場合に ASA が Suite-B アルゴリズムを優先する |
|
|
ASA:「no monitor-interface service-module」コマンドがリロード後になくなる |
|
|
ASA WebVPN:Cosmetic Syslog 734004 DAP: processing error: Code 2991 |
|
|
ipsec-datapath:VPN 経由の TFW 管理接続に数分かかる |
|
|
ASA:データプレーンキャプチャでサービスモジュールから ASA へのパケットがキャプチャされない |
|
|
ASA5580-20 8.4.7.23:スレッド名 ssh でのトレースバック |
|
|
ASA:TLSv1 の Poodle Bites の評価 |
|
|
「show run」で「sysopt traffic detailed-statistics」が表示されない |
|
|
同じ方向の fin を受信した後に ASA が接続を切断する |
|
|
ポートなしの埋め込み IP を使用した SIP インスペクションで「プール枯渇」というログを ASA が生成する |
|
|
ASA:クラスタメンバがクラスタに再参加する際の ICMP ループ |
|
|
「no nameif」でポリシールート設定が削除される |
|
|
ソフトウェアアップグレード後の DATAPATH-1-2414 での ASA トレースバック |
|
|
ASA クラスタ:マスターユニットでデフォルトの OSPF ルートがなくなる |
|
|
ASA:SSH の未認証接続がタイムアウトしない |
|
|
SSL:DHE を使用した 5500-X プラットフォームでの散発的な TLS 1.2 接続エラー |
|
|
ASA:SXP CORE スレッドでのページフォールトのトレースバック |
|
|
RADIUS の使用時に ASA が IPv6 アドレスを AnyConnect クライアントに渡すことができない |
|
|
RHEL/OpenStack を使用して展開した場合に ASAv-KVM を起動できない |
|
|
2015 年 1 月 OpenSSL 脆弱性 |
|
|
ASA:VLAN の再設定後にフェールオーバー記述子が変更されない |
|
|
ポート範囲 1024 ~ 65535 が送信元の場合に NAT 変換が失敗する |
|
|
genikev2:正常な認証と組み合わせた EAP の認証は失敗する可能性がある |
|
|
9.3.2 ではトンネルのデフォルトゲートウェイが機能しなくなる |
|
|
Saleen シリアル番号を使用した SCH 登録の問題 |
|
|
ASA:手動 NAT ルールを削除する場合のトレースバック |
|
|
ライセンスを有効にするには ASAv を再起動する必要がある |
|
|
ASA 9.3.2:DAP が VPN RA セッションに dflt ポリシーを断続的に使用する |
|
|
ルートマップの警告メッセージが紛らわしい |
|
|
5506-X:「no buffer」インターフェイスカウンタで報告されるエラー数が正しくない |
|
|
ASA で TLS 1.2 を使用すると LDAP over SSL が失敗する |
|
|
ASA のインターフェイスからの ICMP エコー応答パケットの TOS 値を ASA がクリアする |
|
|
assertion "mh->mh_mem_pool > MEMPOOL_UNDEFINED && mh->mh_mem_pool < MEMP |
|
|
Twice NAT でポリシーベースルーティングが機能しない |
|
|
デバッグで CiscoTAC-1 プロファイルがトランスポートゲートウェイをポイントしている場合、ASAv がクラッシュする |
|
|
「service call-home」コマンドの切り替え後に ASAv が SL メッセージを送信できない |
|
|
ASA:キーワード「log disable」を指定しても ACL ロギングが無効にならない |
|
|
PBR:有効な set next-hop がないと DF および DSCP ビットが設定されない |
|
|
Exception on asdm_handler stream line: </threat-detection> |
|
|
DMA メモリの枯渇による SSL ライブラリでの ASA トレースバック |
|
|
Cisco ASA の ISAKMP に関するサービス妨害(DoS)の脆弱性 |
|
|
Cisco ASA VPN XML パーサーに関するサービス妨害(DoS)の脆弱性 |
|
|
ASA WEBVPN:認証が失敗した場合にユーザ名が「*」としてログに表示される |
|
|
インターフェイスモードの DHCPRelay サーバが削除されない |
|
|
フェールオーバーアセンブリが永続的にアクティブ-アクティブの状態のままになる |
|
|
AAA:ASA 9.3(2) で RSA/SDI 統合が失敗する - ノード秘密の問題 |
|
|
DNS サーバが「No such name」で応答する場合の 2048 バイトブロックのリーク |
エンドユーザ ライセンス契約書
エンドユーザ ライセンス契約書の詳細については、http://www.cisco.com/go/warranty にアクセスしてください。
関連資料
ASA の詳細については、『Navigating the Cisco ASA Series Documentation』を参照してください。
フィードバック