6.2. 网络

NetworkManager 可以在 VPN 连接配置集中缓解 CVE-2024-3661 (TunnelVision)的影响

VPN 连接依赖于路由来重定向流量。但是，如果 DHCP 服务器使用无类别静态路由选项(121)将路由添加到客户端的路由表中，并且 DHCP 服务器传播的路由与 VPN 重叠，则可以通过物理接口而不是 VPN 传输流量。CVE-2024-3661 描述了此漏洞，它也称为 TunnelVision。因此，攻击者可以访问用户期望由 VPN 保护的流量。

在 RHEL 中，这个问题会影响 LibreSwan IPSec 和 WireGuard VPN 连接。只有带有 ipsec-interface 和 vt-interface 属性的配置集的 LibreSwan IPSec 连接才未定义，或设置为 no 不受影响。

CVE-2024-3661 文档描述了通过配置 VPN 连接配置集将 VPN 路由放在具有高优先级的专用路由表中缓解 TunnelVision 影响的步骤。步骤可用于 LibreSwan IPSec 和 WireGuard 连接。但是，要将缓解步骤应用到 LibreSwan IPSec 连接配置文件，您必须使用 NetworkManager 1.40.16-18 或更高版本。在 RHEL 8.10 上，这个版本由 RHSA-2025:0288 公告提供。

Jira:RHEL-73052

内核在启动过程中在 xen_time_init （） 函数中不再会出现 panic 问题

kernel-4.18.0-553.50.1.el8_10 软件包作为 RHSA-2025:3893 公告的一部分发布，以修复漏洞(CVE-2024-53241)，它引入了一个问题。这个新内核版本在引导过程中错误地进行了比较，从而导致 xen_time_init （） 函数中的内核 panic。这个问题会影响在作为 XEN 主机运行时的 RHEL 8.10，特别是在具有 Intel CPU 和旧 AWS 实例上的系统上。解决方案

这个问题已通过 RHBA-2025:4337 公告提供的 kernel-4.18.0-553.51.1.el8_10 解决。

如果您的系统已受到 'kernel-4.18.0-553.50.1.el8_10' 更新的影响，请引导以前的内核版本，然后安装 kernel-4.18.0-553.51.1.el8_10 软件包或更新的内核版本。

如果您还没有更新到 kernel-4.18.0-553.50.1.el8_10 软件包，请直接更新到 kernel-4.18.0-553.51.1.el8_10 或更高版本以避免出现这个问题。

详情请查看 boot] 中的 [Xen HVM kernel-4.18.0-553.50.1.el8_10 panic at 'xen_time_init （）'。

Jira:RHELDOCS-20989

返回顶部

6.2. 网络

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links