Red Hat Summit11.5. 네트워킹
NetworkManager는 VPN 연결 프로필에서 CVE-2024-3661(TunnelVision)의 영향을 완화할 수 있습니다.
VPN 연결은 경로를 사용하여 터널을 통해 트래픽을 리디렉션합니다. 그러나 DHCP 서버에서 클래스리스 정적 경로 옵션(121)을 사용하여 클라이언트의 라우팅 테이블에 경로를 추가하고 DHCP 서버에서 전파하는 경로가 VPN과 겹치는 경우 VPN 대신 물리적 인터페이스를 통해 트래픽을 전송할 수 있습니다. CVE-2024-3661은 tunnelVision이라고도 하는 이 취약점을 설명합니다. 결과적으로 공격자는 사용자가 VPN에 의해 보호될 것으로 예상되는 트래픽에 액세스할 수 있습니다.
RHEL에서 이 문제는 LibreSwan IPSec 및 WireGuard VPN 연결에 영향을 미칩니다. ipsec-interface 및 vt-interface 속성이 모두 정의되지 않았거나 no 로 설정된 프로필과 LibreSwan IPSec 연결만 영향을 받지 않습니다.
CVE-2024-3661 문서에서는 VPN 연결 프로필을 설정하여 우선 순위가 높은 전용 라우팅 테이블에 VPN 경로를 배치하여 tunnelVision의 영향을 완화하는 단계를 설명합니다. 이 단계는 LibreSwan IPSec 및 WireGuard 연결 모두에서 작동합니다.
Jira:RHEL-64719[1]
RHEL 10에서는 libnftnl 버전 1.2.8을 제공합니다.
libnftnl 라이브러리 버전 1.2.8은 몇 가지 버그 수정을 제공합니다. 주요 변경 사항은 다음과 같습니다.
-
커널에서
dynsetNetlink 속성에 대한 잘못된 유효성 검사를 수정합니다. - 규칙을 출력할 때 더 이상 줄 바꿈을 추가하지 않습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}