ID du bulletin : 2026-022-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 29/04/2026 à 11 h 45 (heure du Pacifique)
 

Description :

FreeRTOS-Plus-TCP est une pile TCP/IP évolutive et open source pour FreeRTOS. Nous avons identifié CVE-2026-7424, dans laquelle un problème de sous-dépassement d’entiers dans l’analyseur de sous-options DHCPv6 pouvait permettre à un utilisateur d’un réseau adjacent de perturber l’attribution des adresses IPv6, la configuration DNS et les durées de location du périphérique et de provoquer un déni de service (gel des tâches IP nécessitant une réinitialisation matérielle).

Versions concernées : FreeRTOS-Plus-TCP >=V4.0.0 ET <=V4.2.5, >=V4.3.0 ET <= V4.4.0

Résolution :

Ce problème a été résolu dans la V4.4.1 et la V4.2.6 de FreeRTOS-Plus-TCP. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou issu d’un fork soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Les utilisateurs qui ne peuvent pas effectuer immédiatement la mise à niveau peuvent désactiver DHCPv6 en paramétrant ipconfigUSE_DHCPv6 sur 0 dans leur fichier de configuration FreeRTOSIPConfig.h. Notez que cette solution nécessite une configuration manuelle des adresses IPv6.

Références :

• CVE-2026-7424
• GHSA-wrhm-c99p-2p8g

Remerciements :

Nous tenons à remercier le chercheur en sécurité @Eun0us | Espilon pour sa collaboration dans la résolution de ce problème, via un processus de divulgation coordonnée de vulnérabilité.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.