Bulletin-ID: 2026-022-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 29.04.2026, 11.45 Uhr PDT
 

Beschreibung:

FreeRTOS-Plus-TCP ist ein skalierbarer Open-Source-TCP/IP-Stack für FreeRTOS. Wir haben die Sicherheitslücke CVE-2026-7424 identifiziert, bei der ein Integer-Unterlauf im Parser der DHCPv6-Suboption es einem Benutzer aus einem benachbarten Netzwerk ermöglichen könnte, die IPv6-Adresszuweisung, die DNS-Konfiguration und die Lease-Zeiten des Geräts zu manipulieren und einen Denial-of-Service-Zustand herbeizuführen (Einfrieren der IP-Aufgaben, das einen Hardware-Reset erfordert).

Betroffene Versionen: FreeRTOS-Plus-TCP ≥ V4.0.0 UND ≤ V4.2.5, ≥ V4.3.0 UND ≤ V4.4.0

Lösung:

Dieses Problem wurde in den Versionen V4.4.1 und V4.2.6 von FreeRTOS-Plus-TCP behoben. Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.

Problemumgehungen:

Benutzer, die nicht sofort ein Upgrade durchführen können, können DHCPv6 deaktivieren, indem sie in ihrer Konfigurationsdatei „FreeRTOSIPConfig.h“ den Wert „ipconfigUSE_DHCPv6“ auf 0 setzen. Bitte beachten Sie, dass diese Problemumgehung eine manuelle Konfiguration der IPv6-Adresse erfordert.

Referenzen:

• CVE-2026-7424
• GHSA-wrhm-c99p-2p8g

Danksagung:

Wir möchten dem Sicherheitsforscher @Eun0us | Espilon für die Zusammenarbeit bei diesem Problem im Rahmen des koordinierten Verfahrens zur Offenlegung von Schwachstellen danken.

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.