11.5. ネットワーク

NetworkManager で、VPN 接続プロファイルにおける CVE-2024-3661 (TunnelVision) の影響を軽減できるようになる

VPN 接続は、ルートを利用してトンネルを介してトラフィックをリダイレクトします。ただし、DHCP サーバーがクラスレススタティックルートオプション (121) を使用してクライアントのルーティングテーブルにルートを追加し、DHCP サーバーによって伝播されたルートが VPN と重複する場合、トラフィックは VPN ではなく物理インターフェイスを介して送信される場合があります。この脆弱性は CVE-2024-3661 で説明されており、TunnelVision とも呼ばれています。結果として、VPN によって保護されているはずのトラフィックに攻撃者がアクセスできるようになります。

RHEL では、この問題は LibreSwan IPSec および WireGuard VPN 接続に影響します。影響を受けないのは、ipsec-interface プロパティーと vt-interface プロパティーの両方が未定義または no に設定されているプロファイルを持つ LibreSwan IPSec 接続だけです。

CVE-2024-3661 ドキュメントでは、VPN ルートを優先度の高い専用ルーティングテーブルに配置するように VPN 接続プロファイルを設定することで、TunnelVision の影響を軽減する手順について説明しています。この手順は、LibreSwan IPSec 接続と WireGuard 接続の両方で機能します。

Jira:RHEL-64719^[1]

RHEL 10 では libnftnl バージョン 1.2.8 が提供される

libnftnl ライブラリーバージョン 1.2.8 では、いくつかのバグが修正されています。主な変更点は、以下のとおりです。

カーネルからの dynset Netlink 属性の誤った検証を修正しました。
ルールを出力するときに改行が追加されなくなりました。

Jira:RHEL-66276

トップに戻る

11.5. ネットワーク

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links