8.6. ネットワーキング

定期的に更新される大きなルーティングテーブルを NetworkManager が処理しても、CPU 使用率がほとんど上昇しなくなる

以前は、外部ルーティングデーモンが数千を超えるルートを含む大きな IPv6 テーブルを更新すると、NetworkManager の CPU 使用率が 100% 近くまで増加していました。これにより、システム全体のパフォーマンスとネットワーク設定が遅くなることがありました。この問題は、NetworkManager ソースコードを更新して、少数のプロトコルを除くルーティングプロトコルのルート変更を無視することで修正されました。その結果、前述の状況でも CPU 使用率がほとんど上昇しなくなりました。

接続がアクティブ化されても ipv6.ip6-privacy の値が変更されなくなる

以前は、ipv6.ip6-privacy パラメーターにグローバルデフォルト値が設定されていない場合、その値は /proc/sys/net/ipv6/conf/default/use_tempaddr ファイルの値に戻されていました。最近加えられた NetworkManager ソースコードへの変更により、代わりに /proc/sys/net/ipv6/conf/IFNAME/use_tempaddr ファイルから読み取られた値に誤ってフォールバックするようになっていました。その結果、IPv6 アドレスの生成が変更され、接続がアクティブ化されると、ipv6.ip6-privacy の値が変更されることがありました。この問題は、元の動作に戻すことで修正されました。その結果、接続がアクティブ化されても、ipv6.ip6-privacy の値が変更されなくなりました。

xdp-loader features コマンドが期待通りに動作するようになる

xdp-loader ユーティリティーは、libbpf の以前のバージョンに対してコンパイルされていました。その結果、xdp-loader features はエラーで失敗していました。

Mellanox ConnectX-5 アダプターが DMFS モードで動作する

以前は、イーサネットスイッチデバイスドライバーモデル (switchdev) モードを使用しているときに、ConnectX-5 アダプターのデバイス管理フローステアリング (DMFS) モードで設定されていると、mlx5 ドライバーが失敗していました。したがって、以下のエラーメッセージが表示されていました。

NetworkManager で、VPN 接続プロファイルにおける CVE-2024-3661 (TunnelVision) の影響を軽減できるようになる

VPN 接続は、ルートを利用してトンネルを介してトラフィックをリダイレクトします。ただし、DHCP サーバーがクラスレススタティックルートオプション (121) を使用してクライアントのルーティングテーブルにルートを追加し、DHCP サーバーによって伝播されたルートが VPN と重複する場合、トラフィックは VPN ではなく物理インターフェイスを介して送信される場合があります。この脆弱性は CVE-2024-3661 で説明されており、TunnelVision とも呼ばれています。結果として、VPN によって保護されているはずのトラフィックに攻撃者がアクセスできるようになります。