出典: Security NEXT – https://www.security-next.com/176477
「Kea DHCP」にサービス拒否の脆弱性が発見され、アップデートが公開されました
Internet Systems Consortium(ISC)が提供するDHCPサーバソフトウェア「Kea DHCP」に、サービス拒否(DoS)を引き起こす脆弱性が報告されました。ISCはこの問題に対応したアップデートを公開し、利用者に適用を呼びかけています。
主要なポイント
- 脆弱性の内容:無効な文字列を含むクライアントからのリクエストにより、Kea DHCPのプロセスがクラッシュし、サービス拒否状態になる可能性があります。
- 影響バージョン:Kea DHCPのバージョン3.1.2、3.1.1、3.0.1が対象で、特定の条件下で問題が発生します。
- 脆弱性識別番号:「CVE-2025-11232」として登録されており、共通脆弱性評価システム(CVSSv3.1)でベーススコア7.5、「高(High)」の重要度と評価されています。
- 対応策:ISCは修正版の「Kea 3.1.3」と「Kea 3.0.2」をリリースし、アップデートの適用を推奨しています。また、回避策も案内されています。
- 悪用状況:現時点でこの脆弱性を悪用した攻撃は確認されていません。
技術的な詳細や背景情報
Kea DHCPは、ネットワーク上のクライアントにIPアドレスを自動的に割り当てるためのサーバソフトウェアです。多くの企業や組織で利用されており、安定したネットワーク運用に欠かせません。
今回の脆弱性は、クライアントから送信されるリクエストの入力処理に問題があり、無効な文字列を受け取った際に正常に処理できず、プログラムが異常終了(クラッシュ)してしまうというものです。これにより、サービスが停止し、ネットワーク上のIPアドレス割り当てが不能になる恐れがあります。
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を評価する指標で、7.5は「高」レベルに該当し、迅速な対応が求められます。
影響や重要性
DHCPサーバはネットワークの基盤を支える重要なサービスであり、これが停止するとネットワークに接続する端末がIPアドレスを取得できなくなり、通信障害が発生します。特に大規模なネットワーク環境では影響が大きく、業務の継続性に支障をきたす可能性があります。
今回の脆弱性は悪用例はまだ報告されていませんが、攻撃者によるサービス妨害を狙った攻撃が今後発生するリスクがあるため、早急なアップデート適用が重要です。
まとめ
「Kea DHCP」に存在するサービス拒否の脆弱性「CVE-2025-11232」は、無効な文字列を含むリクエストによりサーバがクラッシュする問題で、重要度は高く評価されています。ISCは修正版を公開しており、利用者は速やかにアップデートを適用することが推奨されます。ネットワークの安定運用を守るためにも、DHCPサーバのセキュリティ対策は欠かせません。
