はじめに

本ドキュメントはご利用のバージョンで影響を受ける不具合の確認方法と、その修正の適用の仕組みについて紹介します。

なお、ソフトウェアメンテナンスサポート期間中のトレインは、そのトレインの最新のInterimバージョン もしくは メンテナンスバージョンに、最新の不具合修正(脆弱性修正を含む)が適用されます。 その為、特にインターネット境界など 攻撃を受ける可能性のある機器は、定期的なメンテナンスタイムを準備し、定期 もしくは 逐次の ご利用中のトレインの 最新バージョンへのアップグレードをお勧め致します。 (対応例： 9.12トレインを利用中の場合は、9.12系の最新バージョンの 9.12(3)xxにアップグレード)

ASA バージョンリリースと不具合修正の仕組み

ASAソフトウェアは、トレイン更新毎に多くの機能追加・更新を行います。 新トレインリリース後は、そのトレイン内で機能強化や不具合修正を含むバージョンアップを行い、ソフトウェアは成熟していきます。 ASAソフトウェアバージョンの仕組みについて より詳しくは、以下ドキュメントを参照してください。
ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法
https://supportforums.cisco.com/t5/-/-/ta-p/3151046

不具合の修正は、原則 ソフトウェアメンテナンスサポート中の各トレインの、最新Interimバージョン、もしくは 最新メンテナンスバージョンに適用されます。ただし、ソフトウェアメンテナンスの終了が近いトレインの場合、大きなコード変更による不安定化などリスクを避けるためにも、軽微な不具合の修正は適用され辛くなる傾向にあります。

例えば、以下 既知不具合 CSCuj42515 の場合、2014年頃に 当時ソフトウェアメンテナンス中であった各トレイン(8.4系、9.0系、9.1系)の最新バージョンに不具合修正が適用されています。 例えば、9.1トレインの ASAバージョン 9.1(3)3に適用された修正内容は、9.1トレイン内のその後リリースバージョン(例えば 9.1(4)や9.1(5)、その後リリースのInterimバージョン)に引き継がれます。

CSCuj42515 ASA reloads on Thread name: idfw_proc
https://tools.cisco.com/quickview/bug/CSCuj42515

各トレインのソフトウェアメンテナンス最終日や TACサポート終了日の最新情報は、以下ノーティスを確認してください。
End-of-Life and End-of-Sale Notices
https://www.cisco.com/c/en/us/products/security/asa-firepower-services/eos-eol-notice-listing.html

不具合一覧の確認方法

各リリース(主にメンテナンスバージョン)の修正済み不具合一覧は、各トレインのリリースノートより確認できます。

Cisco ASA 5500-X Series Firewalls Release Notes
https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-release-notes-list.html

例えば、ASA9.6トレインの各リリース毎に修正済み不具合一覧は、Open and Resolved Bugs > Resolved Bugsから確認できます。 

以下は、バージョン9.6(2)で修正された不具合一覧の抜粋です。

    
メンテナンスバージョンリリース以降の、Interimバージョンで追加修正された不具合一覧は、Interimリリースノートから確認できます。 Interimリリースノートと そのURLは、Download Softwareの All Releases > Interimの 各リリースのダウンロードページの、「Release Notes for x.x.x Interim」から確認できます。

以下は、9.6(2)のInterimバージョンのダウンロードページの表示例です。

  
以下は、9.6(2) InterimリリースノートのURLです。

https://www.cisco.com/web/software/280775065/135274/ASA-962-Interim-Release-Notes.html

特定不具合の更新情報のメール受信方法

未修正の不具合(Open Bugs)などは、その不具合管理IDを指定し、ステータス更新時にメール通知を受けることができます。 設定方法について詳しくは、以下ドキュメントを参照してください。

https://supportforums.cisco.com/t5/-/-/ta-p/3157602

未修正(Open)の不具合は まだ調査中の不具合であるため、その不具合の内容をTACに問い合わせを頂いても、リリースノートに記載以上の情報のお答えは困難です。

セキュリティ脆弱性情報の確認方法

シスコのセキュリティ脆弱性情報はセキュリティアドバイザリで確認できます。なお、日本語版は参考和訳であり、正式な最新情報は英語版を確認してください。

Cisco Security Advisories and Alerts
https://tools.cisco.com/security/center/publicationListing.x

セキュリティ アドバイザリ 日本語訳
https://www.cisco.com/c/ja_jp/support/docs/csa/psirt-index.html

 
 
セキュリティアドバイザリは、タイトルやCVE番号などで検索が可能です。例えば以下は、CVE-2017-12246の検索例です。 
[英語版 CVE-2017-12246 検索結果]

[日本語版 CVE-2017-12246 検索結果]

英語版の場合、Filter By Productより ご利用製品が該当する脆弱性情報を確認できます。例えば以下は、ASAソフトウェアでの検索例です。LAST UPDATEDの右アイコンをクイックすることで、昇順・降順の変更が可能です。

[英語版 Cisco Adaptive Security Appliance (ASA) Software 検索結果]

 
各セキュリティアドバイザリには、そのセキュリティ脆弱性の要約や、影響を受ける製品や機能、バージョン、製品毎の不具合管理ID、回避策、修正バージョン等の情報が掲載されています。

ASAソフトウェアの脆弱性の場合、多くの場合、メンテナンス中の各トレインの修正バージョン一覧を確認できます。 以下は Cisco Adaptive Security Appliance Software Direct Authentication Denial of Service Vulnerability の Fixed Releasesの抜粋です。

  
なお、特に公開されたばかりの脆弱性は、調査や対応、修正バージョンリリース状況により、セキュリティアドバイザリが更新される事があります。更新履歴は、セキュリティアドバイザリ内の Revision Historyより確認できます。 ご利用のサポート中トレインで修正バージョンの掲載がない場合などは、数日待ってから再確認するなどし、逐次 最新のセキュリティアドバイザリの確認を検討ください。

セキュリティアドバイザリに記載の用語について、より詳しくは、以下ドキュメントを参照してください。

Understanding Terminology in Cisco Security Advisories (英語)
https://tools.cisco.com/security/center/resources/understanding-terminology.html

なお、セキュリティ脆弱性情報は、専任のチームである Cisco Product Security Incident Response Team (PSIRT) の監査のもと公開されます。脆弱性の悪用を防ぐためにも、公開可能な情報は厳しく制限されます。 Cisco TACに脆弱性内容や影響を受ける攻撃方法の詳細をお問い合わせ頂いても 回答は控えさせて頂ておりますため 予めご容赦・ご了承ください。

セキュリティ脆弱性情報の購読方法

新規セキュリティ脆弱性情報などの配信の購読方法や、セキュリティアドバイザリの細かな補足情報は、以下ドキュメントの「Receiving Security Vulnerability Information from Cisco」を参照してください。

Security Vulnerability Policy (英語)

https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html#rsvifc

例えば、セキュリティアドバイザリのCriticalとHighの メール通知を受け取りたい場合は、サブスクライブ(購読)するには、cust-security-announce-join@cisco.com 宛にメールを送付してください。送付メールに本文は不要です。

アンサブスクライブ(購読停止)すには、cust-security-announce-leave@cisco.com に、"unsubscribe"とメール題名に入れて送付してください。

また、My Notifications website から、セキュリティアドバイザリや フィールドノーティスを含む 重要な通知の 受信設定が可能です。

よくある質問

Bug Searchと リリースノートで、記載バージョンに違いがある場合は、どちらの記載が正しいですか

リリースノートに記載の不具合一覧は そのリリースノートの公開時の状態から更新されておらず最新ではないことがあります。例えば既に修正済み、もしくは 修正不要としてBug Searchから公開が取り消された不具合が、リリースノートのOpen Caveats(新規不具合)としてしばらく残り続けてしまうことがあります。

Bug Searchとリリースノートの記載で差分がある場合は、最新の修正情報は Bug Searchに即座に反映されてますため、Bug Searchの修正バージョン情報を正として利用するようにしてください。

Bug Searchの修正バージョン 99.x.x.xや x.x.x.10x の利用は可能ですか

一般のユーザ様はダウンロードや利用はできません。例えば以下は CSCvi16029 のFixedバージョンの抜粋となりますが、枠内の1桁目(メジャーバージョン)や 4桁目(インタリムバージョン)が90以上のバージョンは、シスコ社内や ごく一部のテストユーザ様向けの テストバージョンとなるためです。これらテストバージョンの更なる試験や統合テストなどを実施し 安定性を確認した後、Download Softwareでダウンロード可能な正式公開バージョンがリリースされます。そのため、テスト済みで安定した Download Softwareからダウンロード可能なバージョンを利用するようにしてください。

不具合に該当時は 記載の修正バージョンにバージョンアップが推奨ですか

いえ、その不具合の修正を含む、ご利用中のトレインの 最新バージョンへのバージョンアップを 強くお勧め致します。 利用中のトレインが既にソフトウェアメンテナンス終了済みの場合は、適宜 サポート中のトレインの最新バージョンにアップグレードも検討してください。

修正バージョン(Known Fixed Release)は はじめて その問題の修正が適用されたバージョンであり、同じトレイン内の後続のバージョンであればその修正を引き継いでいるため、より新しい各トレインの最新Interimバージョン もしくは メンテナンスバージョンが、原則 そのご利用トレイン内で最も不具合修正が進み 安定しています。逆に、古いInterimバージョンの場合は、古いバージョン利用によるお客様での不利益発生回避のために、Download Softwareで公開停止していることもあり、利用には向きません。

バージョン選定やバージョンアップ方法について詳しくは、ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法 や ASA9.5(1)以降: トレイン別のサポートモデルの違いについて を参照してください。

参考情報

ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733