佈告欄 ID：AWS-2025-023
範圍： AWS
內容類型： 重要 (需要注意)
發布日期：2025 年 10 月 10 日上午 10:15 (太平洋夏令時間)

我們已確認以下 CVE 問題：

• CVE-2025-11616 – 接收特定訊息類型且小於預期大小的 ICMPv6 封包時，發生緩衝區溢讀。
• CVE-2025-11617 – 接收封包標頭中承載長度錯誤的 IPv6 封包時，發生緩衝區溢讀。
• CVE-2025-11618 – 接收封包標頭中 IP 版本欄位錯誤的 UDP/IPv6 封包時，發生無效指標取值。

描述：

FreeRTOS-Plus-TCP 是專為 FreeRTOS 設計的開放原始碼 TCP/IP 堆疊實作。該堆疊提供標準 Berkeley 插座介面，並支援基本的網路協定，包括 IPv6、ARP、DHCP、DNS、LLMNR、mDNS、NBNS、RA、ND、ICMP 和 ICMPv6。

這些問題僅影響使用 IPv6 的應用程式。

受影響版本：v4.0.0 至 v4.3.3 (若已開啟 IPv6 支援)

解決方案：

此問題已在 FreeRTOS-Plus-TCP 版本 4.3.4 中得到解決。建議您升級至最新版本，同時確保修補任何分支或衍生程式碼，以包含新的修正。

變通方法：

無。

致謝：

我們誠摯感謝 Mayhem Security 透過協調的漏洞披露程序，與我們協作解決此問題。

參考資料：

• GHSA-6fh9-mqxj-hmwj
• GHSA-wmjr-wm93-cvv2
• GHSA-8j9h-xjm9-8j6j

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。