Red Hat Summit6.2. ネットワーク
NetworkManager で、VPN 接続プロファイルにおける CVE-2024-3661 (TunnelVision) の影響を軽減できるようになる
VPN 接続は、ルートを利用してトンネルを介してトラフィックをリダイレクトします。ただし、DHCP サーバーがクラスレススタティックルートオプション (121) を使用してクライアントのルーティングテーブルにルートを追加し、DHCP サーバーによって伝播されたルートが VPN と重複する場合、トラフィックは VPN ではなく物理インターフェイスを介して送信される場合があります。この脆弱性は CVE-2024-3661 で説明されており、TunnelVision とも呼ばれています。結果として、VPN によって保護されているはずのトラフィックに攻撃者がアクセスできるようになります。
RHEL では、この問題は LibreSwan IPSec および WireGuard VPN 接続に影響します。影響を受けないのは、ipsec-interface プロパティーと vt-interface プロパティーの両方が未定義または no に設定されているプロファイルを持つ LibreSwan IPSec 接続だけです。
CVE-2024-3661 ドキュメントでは、VPN ルートを優先度の高い専用ルーティングテーブルに配置するように VPN 接続プロファイルを設定することで、TunnelVision の影響を軽減する手順について説明しています。この手順は、LibreSwan IPSec 接続と WireGuard 接続の両方で機能します。ただし、LibreSwan IPSec 接続プロファイルに緩和手順を適用するには、NetworkManager 1.40.16-18 以降を使用する必要があります。RHEL 8.10 では、このバージョンは RHSA-2025:0288 アドバイザリーによって提供されます。
