概要

インターネットシステムコンソーシアム（ISC）は、その Kea DHCP サーバソフトウェアにおける高危険度の脆弱性についての緊急セキュリティアドバイザリーを発表しました。この脆弱性により、未認証の攻撃者がネットワークサービスをクラッシュさせ、完全なサービス拒否状態に陥れる可能性があります。

脆弱性概要

CVE-2026-3608 と追跡されているこの脆弱性は、Kea の複数のコアデーモン内にあるスタックオーバーフローの脆弱性に基づいています。攻撃者は、任意に構成された API ソケットまたは高可用性（HA）リスナーを介して悪意のあるメッセージを送信することでこの脆弱性を悪用できます。

影響範囲

• Kea 2.6 ブランチ：バージョン 2.6.0 から 2.6.4 の間のすべてのリリースが脆弱性を含んでいます。
• Kea 3.0 ブランチ：バージョン 3.0.0 から 3.0.2 の間のすべてのリリースが脆弱性を含んでいます。

対策と修正

ISCは、管理者に新しいパッチ版へのアップグレードを強く推奨しています。Kea 2.6 ブランチのユーザーはすぐに Kea 2.6.5 に更新し、3.0 ブランチの組織は 3.0.3 を導入してネットワークシステムを適切に保護する必要があります。

パッチ適用が即座に行えない場合、管理者はすべての API ソケットを TLS で保護することで攻撃者による悪意のある API 接続を防ぐことができます。設定パラメータ cert-required を true に設定すると、サーバーはクライアント証明書を使用した相互認証を強制します。

元記事: https://gbhackers.com/isc-issues-critical-warning-over-kea-dhcp-vulnerability/