Kea DHCP 和 cyrus-imapd 封包中的漏洞允許權限提升

在各種發行版使用的 Kea DHCP 伺服器設定中都發現了漏洞,該伺服器由 ISC 聯盟開發,用於取代經典的 ISC DHCP,在某些情況下允許本機使用者以 root 權限執行程式碼或覆蓋系統中的任何檔案:

  • CVE-2025-32801 - 允許本機使用者以 root 使用者身分在執行 Kea 的系統上取得 root 權限,或以較低權限的使用者身分在執行 Kea 的系統上取得對 Kea 伺服器的完全控制。攻擊是透過呼叫 kea-ctrl-agent 服務提供的 REST API 進行的,該服務預設透過 localhost:8000 接受請求。在大多數配置中,系統的所有本機使用者都可以使用 REST API,無需身份驗證。

    操作透過發送 set-config 命令來執行,該命令允許您管理所有 Kea 服務的設定。除此之外,該指令還可用於變更“hooks-libraries”參數,這會影響其他鉤子函式庫的載入。攻擊者可以透過替換函式庫來實現在 Kea 服務上下文中執行其程式碼,該函式庫是一個具有「建構函數」屬性的函數,當 dlopen() 函數開啟函式庫時,將從中呼叫該函數。 curl -X POST -H“Content-Type:application/json” \ -d'{“command”:“config-set”,“arguments”:{“Control-agent”:{“hooks-libraries”:[{“library”:“/home/someuser/libexploit.so”}}}}'

  • CVE-2025-32802 - 一個漏洞允許使用 REST API 中的 config-write 命令覆蓋系統中的任何文件,只要執行 Kea 的使用者的權限允許。攻擊者可以控制正在寫入的內容,但資料是以 JSON 格式寫入的,並且必須包含正確的 Kea 設定。但是,透過操作 /etc/profile.d 目錄中的文件,這可能足以以 root 權限執行命令。 curl -X POST -H“Content-Type:application/json” \ -d'{“command”:“config-write”,“arguments”:{“filename”:“/etc/evil.conf”}}' \ localhost:8000

    分別提到了使用 config-write 指令更改 Kea 設定的幾種場景。例如,您可以將日誌檔案重新導向到檔案系統中的任何位置,組織服務的控制 UNIX 套接字的欺騙,或阻止 Kea 的運作。

  • CVE-2025-32803 - 包含綁定資訊的日誌檔案 (/var/log/kea*.log) 和 /var/lib/kea/*.cvs 文件 IP位址 (DHCP租約)及相關資料可供所有人查閱。

在 Arch 發行版中,以 root 使用者身分執行 Kea 是一種常見做法。 LinuxGentoo、openSUSE Tumbleweed(截至 5 月 23 日)、FreeBSD、NetBSD(pkgsrc)和 OpenBSD。 Debian, Ubuntu 在 Fedora 系統中,該服務以獨立的非特權使用者身分運作。而在 Gentoo 系統中,Kea 軟體包僅在 amd64 架構的 unstable 軟體倉庫中提供。 Ubuntu與其他系統不同,kea-ctrl-agent 服務僅在設定中指定了對 REST API 的密碼保護存取權時才會啟動。您可以在以下頁面追蹤軟體包更新到各個發行版的發布情況: Debian, UbuntuRHEL、openSUSE、Fedora、Gentoo、ALT LinuxArch、FreeBSD、OpenBSD 和 NetBSD。

此外,值得注意的是,Tumbleweed 和 Factory 儲存庫中的 openSUSE 專案提供的 Cyrus IMAP 伺服器套件中存在一個漏洞 (CVE-2025-23394)。此漏洞允許本機使用者將權限從 cyrus 使用者提升到 root 使用者。該漏洞的嚴重程度被評為嚴重級別(9.8 分中的 10 分),但該級別過高,因為攻擊需要 cyrus 權限,而該權限可以透過利用 cyrus-imapd 中的其他漏洞來獲取。

該問題是由於 daily-backup.sh 腳本中處理符號連結時出現錯誤引起的,該錯誤特定於 SUSE/openSUSE 發行版。這個漏洞在於 daily-backup.sh 腳本以 root 權限運行,但寫入 /var/lib/imap 目錄,非特權使用者 cyrus 可以在該目錄下建立檔案。攻擊包括建立指向系統檔案的符號連結(例如,您可以建立指向 /etc/shadow 的符號連結 /var/lib/imap/mailboxes.txt)。該漏洞已在 cyrus-imapd 軟體包版本 3.8.4-2.1 中修復。

來源: opennet.ru

為具有 DDoS 保護、VPS VDS 服務器的站點購買可靠的主機 🔥 購買具備 DDoS 防護的可靠網站寄存服務,包括 VPS 和 VDS 伺服器 | ProHoster