Ambito: AWS
Tipo di contenuto: Importante (richiede attenzione)
Data di pubblicazione: 06/04/2025 10:00 PDT
Descrizione
FreeRTOS-plus-TCP è un'implementazione dello stack TCP/IP open source progettata specificamente per FreeRTOS. Lo stack fornisce un'interfaccia socket Berkeley standard e supporta protocolli di rete essenziali tra cui IPv6, ARP, DHCP, DNS, LLMNR, mDNS, NBNS, RA, ND, ICMP e ICMPv6. FreeRTOS-Plus-TCP offre due schemi di allocazione per la gestione dei buffer:
- Schema di allocazione dei buffer 1: alloca i buffer da un pool predefinito di dimensione fissa.
- Schema di allocazione dei buffer 2: alloca dinamicamente i buffer della dimensione richiesta dall'heap.
Abbiamo identificato CVE-2025-5688, che può consentire la scrittura fuori limite durante l'elaborazione di query LLMNR o mDNS con nomi DNS molto lunghi. Questo problema riguarda solo i sistemi che utilizzano lo schema di allocazione del buffer 1 con LLMNR o mDNS abilitati.
Versione interessata:
- da v2.3.4 a v4.3.1, se LLMNR viene utilizzato con lo schema di allocazione di buffer 1.
- da v4.0.0 a v4.3.1, se mDNS viene utilizzato con lo schema di allocazione di buffer 1.
Risoluzione:
Questo problema è stato risolto nella versione 4.3.2 di FreeRTOS-Plus-TCP. Per incorporare le nuove correzioni, ti consigliamo di eseguire l'aggiornamento alla versione più recente e di assicurarti che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.
Soluzioni alternative:
Nessuna.
Riferimenti:
Ringraziamenti:
Desideriamo ringraziare Purdue University per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.
Per eventuali domande o dubbi sulla sicurezza, invia un'e-mail all'indirizzo aws-security@amazon.com.