Kea DHCP: Local Vulnerabilities in Many Linux and BSD Distributions
a year ago
- #linux
- #vulnerability
- #security
- Kea DHCP存在多个影响众多Linux和BSD发行版的本地漏洞
- 通过钩子库注入可实现本地提权(CVE-2025-32801)
- 通过config-write命令触发任意文件覆盖漏洞(CVE-2025-32802)
- 日志文件可被重定向至任意路径(与3.2共享CVE编号)
- /tmp目录下的套接字存在服务欺骗和拒绝服务问题(与3.2共享CVE编号)
- DHCP租约和日志文件全局可读(CVE-2025-32803)
- 加固建议包括强制REST API身份验证和限制文件路径
- Kea 2.4.2/2.6.3/2.7.9版本已修复这些漏洞
- 受影响发行版涵盖Arch Linux、Debian、Ubuntu、Fedora、Gentoo、openSUSE、FreeBSD、NetBSD和OpenBSD
- CVE编号包含CVE-2025-32801、CVE-2025-32802和CVE-2025-32803