红帽全球峰会6.2. 网络
NetworkManager 可以在 VPN 连接配置集中缓解 CVE-2024-3661 (TunnelVision)的影响
VPN 连接依赖于路由来重定向流量。但是,如果 DHCP 服务器使用无类别静态路由选项(121)将路由添加到客户端的路由表中,并且 DHCP 服务器传播的路由与 VPN 重叠,则可以通过物理接口而不是 VPN 传输流量。CVE-2024-3661 描述了此漏洞,它也称为 TunnelVision。因此,攻击者可以访问用户期望由 VPN 保护的流量。
在 RHEL 中,这个问题会影响 LibreSwan IPSec 和 WireGuard VPN 连接。只有带有 ipsec-interface 和 vt-interface 属性的配置集的 LibreSwan IPSec 连接才未定义,或设置为 no 不受影响。
CVE-2024-3661 文档描述了通过配置 VPN 连接配置集将 VPN 路由放在具有高优先级的专用路由表中缓解 TunnelVision 影响的步骤。步骤可用于 LibreSwan IPSec 和 WireGuard 连接。但是,要将缓解步骤应用到 LibreSwan IPSec 连接配置文件,您必须使用 NetworkManager 1.40.16-18 或更高版本。在 RHEL 8.10 上,这个版本由 RHSA-2025:0288 公告提供。
