6.2. ネットワーク
NetworkManager は、VPN 接続プロファイルにおける CVE-2024-3661 (TunnelVision) の影響を軽減できます。
VPN 接続は、トンネルを介してトラフィックをリダイレクトするためのルートに依存します。ただし、DHCP サーバーがクラスレススタティックルートオプション (121) を使用してクライアントのルーティングテーブルにルートを追加し、DHCP サーバーによって伝播されたルートが VPN と重複する場合、トラフィックは VPN ではなく物理インターフェイスを介して送信される可能性があります。CVE-2024-3661 は、TunnelVision としても知られるこの脆弱性について説明しています。その結果、攻撃者は、ユーザーが VPN によって保護されていると想定しているトラフィックにアクセスできるようになります。
RHEL では、この問題は LibreSwan IPSec および WireGuard VPN 接続に影響します。ipsec-interface プロパティー と vt-interface プロパティーの両方が未定義または no に設定されているプロファイルを持つ LibreSwan IPSec 接続のみが影響を受けません。
CVE-2024-3661 ドキュメントでは、VPN ルートを優先度の高い専用ルーティングテーブルに配置するように VPN 接続プロファイルを設定することで、TunnelVision の影響を軽減する手順について説明しています。これらの手順は、LibreSwan IPSec 接続と WireGuard 接続の両方で機能します。ただし、LibreSwan IPSec 接続プロファイルに緩和手順を適用するには、NetworkManager 1.40.16-18 以降を使用する必要があります。RHEL 8.10 では、このバージョンは RHSA-2025:0288 アドバイザリーによって提供されます。
