9.8. ネットワーク
negative_advice() 関数を使用する古いサードパーティーモジュールがカーネルをクラッシュさせる可能性がある
コアネットワーク操作 negative_advice() は、dst_negative_advice() および __dst_negative_advice() インライン関数を呼び出します。RHEL 8.10 のカーネルで、これらのインライン関数のセキュリティー問題 (CVE-2024-36971) が修正されました。修正前にサードパーティーのモジュールがコンパイルされていた場合、このモジュールは negative_advice() を誤って呼び出す可能性があります。その結果、サードパーティーのモジュールがカーネルをクラッシュさせる可能性があります。この問題を解決するには、negative_advice() 関数を正しく呼び出す更新されたモジュールを使用します。
ネットワークインターフェイス名の予期しない変更により、RoCE インターフェイスの IP 設定が失われる
RDMA over Converged Ethernet (RoCE) インターフェイスは、次の両方の条件が満たされた場合、ネットワークインターフェイス名の予期しない変更により IP 設定を失います。
- ユーザーが RHEL 8.6 以前のシステムからアップグレードする。
- RoCE カードが UID によって列挙されている。
この問題を回避するには、以下を実行します。
次の内容を含む
/etc/systemd/network/98-rhel87-s390x.linkファイルを作成します。[Match] Architecture=s390x KernelCommandLine=!net.naming-scheme=rhel-8.7 [Link] NamePolicy=kernel database slot path AlternativeNamesPolicy=database slot path MACAddressPolicy=persistent
- システムを再起動して、変更を有効にします。
- RHEL 8.7 以降にアップグレードします。
機能 ID (FID) によって列挙され、一意ではない RoCE インターフェイスは、net.naming-scheme=rhel-8.7 カーネルパラメーターを設定しない限り、引き続き予測できないインターフェイス名を使用することに注意してください。この場合、RoCE インターフェイスは ens 接頭辞が付いた予測可能な名前に切り替わります。
Jira:RHEL-11398[1]
IPv6_rpfilter オプションが有効になっているシステムでネットワークスループットが低下
firewalld.conf ファイルで IPv6_rpfilter オプションが有効になっているシステムでは、100 Gbps リンクなどの高いトラフィックシナリオの場合、現時点でパフォーマンスは最適ではなくネットワークスループットが低下します。この問題を回避するには、IPv6_rpfilter オプションを無効にします。これを行うには、/etc/firewalld/firewalld.conf ファイルに次の行を追加します。
IPv6_rpfilter=no
その結果、システムはパフォーマンスが向上しますが、同時にセキュリティーは低下します。
Bugzilla:1871860[1]
